#безопасность
Introducing Security By Design
В Google Play Academy запустили курс "Security by Design". Упор на безопасность прослеживается в Android уже несколько последних релизов ОС, но вот и Google Play стал активно продвигать тему. Вы изучите Jetpack Secturity, SafetyNet и как вступить в программу по поиску уязвимостей в вашем приложении.
Introducing Security By Design
В Google Play Academy запустили курс "Security by Design". Упор на безопасность прослеживается в Android уже несколько последних релизов ОС, но вот и Google Play стал активно продвигать тему. Вы изучите Jetpack Secturity, SafetyNet и как вступить в программу по поиску уязвимостей в вашем приложении.
#google #безопасность
Google представила сервис deps.dev, с помощью котором вы сможете проверить что ваши зависимости безопасны. Поддерживается Maven, NPM, Go, Cargo и скоро будут NuGet и PyPI
Google представила сервис deps.dev, с помощью котором вы сможете проверить что ваши зависимости безопасны. Поддерживается Maven, NPM, Go, Cargo и скоро будут NuGet и PyPI
#безопасность
Развитие механизмов безопасности Android (от версии к версии)
Хорошая статья по обзору различных улучшений в Android 4.4-12. Рекомендую всем познакомиться как улучшалась защита ОС за последние 8 лет
Развитие механизмов безопасности Android (от версии к версии)
Хорошая статья по обзору различных улучшений в Android 4.4-12. Рекомендую всем познакомиться как улучшалась защита ОС за последние 8 лет
#безопасность
Безопасность в мобильных приложениях
Организация защиты Android приложения:
👉 Проверка на Root, Xposed и эмулятор
👉 Проверка установщика
👉 Проверки на клонирование/пересборку приложения
👉 Safety net
👉 SSL pinning
👉 Обфускация
👉 Шифрование
👉 JNI
Безопасность в мобильных приложениях
Организация защиты Android приложения:
👉 Проверка на Root, Xposed и эмулятор
👉 Проверка установщика
👉 Проверки на клонирование/пересборку приложения
👉 Safety net
👉 SSL pinning
👉 Обфускация
👉 Шифрование
👉 JNI
#Безопасность #Privacy
Announcing Policy Updates To Bolster Privacy and Security
Обновление безопасности и приватности данных пользователей:
👉 В этом году Android 12 не будет получать доступа к рекламному идентификатору, а разработчики будут получать строку из всех нулей. В 2022 это изменение коснётся всех устройств с Google Play Services
👉 Для получения рекламного идентификатора нужно будет объявлять специальное разрешение
как описано здесь
👉 Новая возможность - app set ID, которая будет уникальным id между всеми приложениями вашей организации, что упростит корреляцию данных между вашими продуктами.
👉 Больше нельзя передавать какие-либо идентификаторы в приложениях для детей. Если ваше приложение и для взрослых и детей, то вы должны соблюдать это требование только для детей
👉 Если вы год не использовали свой Google Play Dev аккаунт, тогда он будет удалён
👉 Новые требования по использования AccessibilityService API и IsAccessibilityTool
Всем новым требования приложения должны соответствовать к 1 апрелю 2022
Announcing Policy Updates To Bolster Privacy and Security
Обновление безопасности и приватности данных пользователей:
👉 В этом году Android 12 не будет получать доступа к рекламному идентификатору, а разработчики будут получать строку из всех нулей. В 2022 это изменение коснётся всех устройств с Google Play Services
👉 Для получения рекламного идентификатора нужно будет объявлять специальное разрешение
com.google.android.gms.permission.AD_IDкак описано здесь
👉 Новая возможность - app set ID, которая будет уникальным id между всеми приложениями вашей организации, что упростит корреляцию данных между вашими продуктами.
👉 Больше нельзя передавать какие-либо идентификаторы в приложениях для детей. Если ваше приложение и для взрослых и детей, то вы должны соблюдать это требование только для детей
👉 Если вы год не использовали свой Google Play Dev аккаунт, тогда он будет удалён
👉 Новые требования по использования AccessibilityService API и IsAccessibilityTool
Всем новым требования приложения должны соответствовать к 1 апрелю 2022
#безопасность #android11
Making permissions auto-reset available to billions more devices
В Android 11 была представлена фича по автоматическому сбросу runtime permissions, когда приложение не используется на протяжении нескольких месяцев. Теперь это функция появится на всех версиях, начиная Android с 6.0, и Google Play Services. Ждет нас уже это в декабре 2021.
До Android 11 пользователь может выключить эту функцию, а на последних версиях уже не получится. Также в AndroidX Core 1.7.0 появится специальное API, чтобы проверять статус этой функции.
Making permissions auto-reset available to billions more devices
В Android 11 была представлена фича по автоматическому сбросу runtime permissions, когда приложение не используется на протяжении нескольких месяцев. Теперь это функция появится на всех версиях, начиная Android с 6.0, и Google Play Services. Ждет нас уже это в декабре 2021.
До Android 11 пользователь может выключить эту функцию, а на последних версиях уже не получится. Также в AndroidX Core 1.7.0 появится специальное API, чтобы проверять статус этой функции.
#безопасность #шифрование
How to Secure Secrets in Android (In-Depth) — Android Security-02
Разбор способов шифрования данныз на Android устройствах: KeyStore API, MasterKeys Management/KeyStore System, AndroidX Security
How to Secure Secrets in Android (In-Depth) — Android Security-02
Разбор способов шифрования данныз на Android устройствах: KeyStore API, MasterKeys Management/KeyStore System, AndroidX Security
#android12 #безопасность
Increasing User Transparency with Privacy Dashboard
В Android 12 появилась функциональность под названием "Privacy Dashboard", которая позволяет пользователю понять к каким данным приложения получают доступ и какие разрешения получили.
Разработчикам рекомендуют проверить что отображается в этой секции для их приложений. Также вы можете добавить Activity в ваше приложение, которое объяснит зачем ваше приложение получает доступ к камере, микрофону или местоположению. Также можно отслеживать с помощью callback доступ к этим данным с помощью Data access auditing API
Increasing User Transparency with Privacy Dashboard
В Android 12 появилась функциональность под названием "Privacy Dashboard", которая позволяет пользователю понять к каким данным приложения получают доступ и какие разрешения получили.
Разработчикам рекомендуют проверить что отображается в этой секции для их приложений. Также вы можете добавить Activity в ваше приложение, которое объяснит зачем ваше приложение получает доступ к камере, микрофону или местоположению. Также можно отслеживать с помощью callback доступ к этим данным с помощью Data access auditing API
#безопасность
Android permission: Can it be easier?
Автор статья предлагает свою простую обертку над запрос разрешений через Activity Result API, которая добавляет осмысленные callback с понимание результата запроса разрешения
Android permission: Can it be easier?
Автор статья предлагает свою простую обертку над запрос разрешений через Activity Result API, которая добавляет осмысленные callback с понимание результата запроса разрешения
#безопасность #ui
Визуальная защита контента Android приложения
Описание подхода для визуальной защиты контента приложения, пока ожидается ввод пароля или прохождения биометрической авторизации.
Визуальная защита контента Android приложения
Описание подхода для визуальной защиты контента приложения, пока ожидается ввод пароля или прохождения биометрической авторизации.
Взлом и защита Android приложений (20m): как происходит, основные угрозы и как не допустить утечки
#безопасность
#безопасность
В Android 15 появится API для доступа к хранилищу криптографических публичных ключей на уровне ОС. Для доступа используйте E2eeContactKeysManager.
End-to-end (E2E) шифрование используется во многих современных мессенджерах (например Telegram имеет такую возможность, но не по умолчанию; Viber также работает с E2E
#android15 #безопасность
End-to-end (E2E) шифрование используется во многих современных мессенджерах (например Telegram имеет такую возможность, но не по умолчанию; Viber также работает с E2E
#android15 #безопасность
Новые более строгие правила матчинга компонента при запуске Intent:
👉 Intent без action больше не будет попадать под какой-либо intent-filter. Запускать Activity или Serice нужно будет с заданием action.
Не понял что будет с явными Intent неэкспортированных компонентов, которым Action будет задаваться лишь для галочки в таком случае
👉 Явный Intent (с указанием класса Android компонента) для запуска компонента, которые имеет Intent Filter, обязательно должен попасть в один из них.
#android15 #безопасность
👉 Intent без action больше не будет попадать под какой-либо intent-filter. Запускать Activity или Serice нужно будет с заданием action.
Не понял что будет с явными Intent неэкспортированных компонентов, которым Action будет задаваться лишь для галочки в таком случае
👉 Явный Intent (с указанием класса Android компонента) для запуска компонента, которые имеет Intent Filter, обязательно должен попасть в один из них.
#android15 #безопасность
Bytemask - Gradle плагин, шифрующий строки в приложении, затрудняя их реверс инжениринг. Используется ключ подписи приложения для шифрования
#безопасность
#безопасность
SSL Pinning - техника по добавлению дополнительного слоя безопасности в SSL/TLS чтобы убедиться что клиент работает с определенным сертификатом сервера или публичным ключом. Вот инструкция (EN,4м) как настроить в Android
‼️ Помните что это все равно не гарант абсолютной защиты вашего приложения, но это не значит что это не стоит делать
#безопасность
#безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Специалисты нашли серьезную проблему безопасности в библиотеке Jetpack Navigation. Уязвимость позволяет открывать любой Fragment внутри приложения, который добавлен в граф навигации.
Сделать это можно с помощью отправки специального Intent, который обрабатывает библиотека для поддержки deep link.
Больше деталей и примеров в статье (16м)
#jetpack #навигация #deeplink #безопасность
Сделать это можно с помощью отправки специального Intent, который обрабатывает библиотека для поддержки deep link.
Больше деталей и примеров в статье (16м)
#jetpack #навигация #deeplink #безопасность
Google представила Android Application Security Knowledge Base (AAKB) - программы с руководствами по безопасности и рекомендациями по улучшению приложений в этой области. Все правила и рекомендацию разработаны на основе OWASP и в сотрудничестве с партнёрами, например Microsoft.
Правила с примерами плохо кода и как надо делать доступны на сайте, а также все проверки и рекомендации интегрированы в Android Studio, начиная с версии Giraffe. Android Lint на сегодня содержит 75 правил касательно безопасности
#androidstudio #безопасность
Правила с примерами плохо кода и как надо делать доступны на сайте, а также все проверки и рекомендации интегрированы в Android Studio, начиная с версии Giraffe. Android Lint на сегодня содержит 75 правил касательно безопасности
#androidstudio #безопасность
Статья (17м) про разработку приложения для обязательного ввода пароля перед входом в приложение. Автор реализовал свой Accessibility Service и роль приложения-админа
#accessibility #безопасность
#accessibility #безопасность
Google Play Integrity API теперь сможет понимать что приложение поставлено не из Google Play и давать возможность разработчику форсировать переустановку версии из официального магазина приложений.
Необходимо включить настройку в Google Play консоле. После этого системна с Google Play Services будет блокировать запуск приложений на устройстве, если оно установлено из неизвестного источника.
Разработчикам это позволит бороться со взломами, установками приложений из неизвестных источников (пишут везде именно про sideloading). Пиратства и взломов много, а это возможность авторам защищаться и заставлять использовать приложение, установленное из официального источника.
Что будет считаться "неизвестный источник" я не нашёл, но явно Google Play доверенный. Не стоит говорить что Google запрещает sideloading или другие механизмы установки.
Делитесь в комментариях что думаете вы по поводу изменений
#googleplay #безопасность
Необходимо включить настройку в Google Play консоле. После этого системна с Google Play Services будет блокировать запуск приложений на устройстве, если оно установлено из неизвестного источника.
Разработчикам это позволит бороться со взломами, установками приложений из неизвестных источников (пишут везде именно про sideloading). Пиратства и взломов много, а это возможность авторам защищаться и заставлять использовать приложение, установленное из официального источника.
Что будет считаться "неизвестный источник" я не нашёл, но явно Google Play доверенный. Не стоит говорить что Google запрещает sideloading или другие механизмы установки.
Делитесь в комментариях что думаете вы по поводу изменений
#googleplay #безопасность