Android Broadcast
13.8K subscribers
3.13K photos
225 videos
9 files
5.31K links
Подборка новостей и статей для Android разработчиков.

Связь с автором @android_broadcast_bot
Реклама @android_broadcast_bot
Download Telegram
#безопасность

Развитие механизмов безопасности Android (от версии к версии)

Хорошая статья по обзору различных улучшений в Android 4.4-12. Рекомендую всем познакомиться как улучшалась защита ОС за последние 8 лет
#безопасность

Безопасность в мобильных приложениях

Организация защиты Android приложения:
👉 Проверка на Root, Xposed и эмулятор
👉 Проверка установщика
👉 Проверки на клонирование/пересборку приложения
👉 Safety net
👉 SSL pinning
👉 Обфускация
👉 Шифрование
👉 JNI
#Безопасность #Privacy

Announcing Policy Updates To Bolster Privacy and Security

Обновление безопасности и приватности данных пользователей:
👉 В этом году Android 12 не будет получать доступа к рекламному идентификатору, а разработчики будут получать строку из всех нулей. В 2022 это изменение коснётся всех устройств с Google Play Services
👉 Для получения рекламного идентификатора нужно будет объявлять специальное разрешение com.google.android.gms.permission.AD_ID
как описано здесь
👉 Новая возможность - app set ID, которая будет уникальным id между всеми приложениями вашей организации, что упростит корреляцию данных между вашими продуктами.
👉 Больше нельзя передавать какие-либо идентификаторы в приложениях для детей. Если ваше приложение и для взрослых и детей, то вы должны соблюдать это требование только для детей
👉 Если вы год не использовали свой Google Play Dev аккаунт, тогда он будет удалён
👉 Новые требования по использования AccessibilityService API и IsAccessibilityTool

Всем новым требования приложения должны соответствовать к 1 апрелю 2022
#безопасность #android11

Making permissions auto-reset available to billions more devices

В Android 11 была представлена фича по автоматическому сбросу runtime permissions, когда приложение не используется на протяжении нескольких месяцев. Теперь это функция появится на всех версиях, начиная Android с 6.0, и Google Play Services. Ждет нас уже это в декабре 2021.

До Android 11 пользователь может выключить эту функцию, а на последних версиях уже не получится. Также в AndroidX Core 1.7.0 появится специальное API, чтобы проверять статус этой функции.
#безопасность #шифрование

How to Secure Secrets in Android (In-Depth) — Android Security-02

Разбор способов шифрования данныз на Android устройствах: KeyStore API, MasterKeys Management/KeyStore System, AndroidX Security
#android12 #безопасность

Increasing User Transparency with Privacy Dashboard

В Android 12 появилась функциональность под названием "Privacy Dashboard", которая позволяет пользователю понять к каким данным приложения получают доступ и какие разрешения получили.

Разработчикам рекомендуют проверить что отображается в этой секции для их приложений. Также вы можете добавить Activity в ваше приложение, которое объяснит зачем ваше приложение получает доступ к камере, микрофону или местоположению. Также можно отслеживать с помощью callback доступ к этим данным с помощью Data access auditing API
#безопасность

Android permission: Can it be easier?

Автор статья предлагает свою простую обертку над запрос разрешений через Activity Result API, которая добавляет осмысленные callback с понимание результата запроса разрешения
#безопасность #ui

Визуальная защита контента Android приложения

Описание подхода для визуальной защиты контента приложения, пока ожидается ввод пароля или прохождения биометрической авторизации.
Взлом и защита Android приложений (20m): как происходит, основные угрозы и как не допустить утечки

#безопасность
В Android 15 появится API для доступа к хранилищу криптографических публичных ключей на уровне ОС. Для доступа используйте E2eeContactKeysManager.

End-to-end (E2E) шифрование используется во многих современных мессенджерах (например Telegram имеет такую возможность, но не по умолчанию; Viber также работает с E2E

#android15 #безопасность
Новые более строгие правила матчинга компонента при запуске Intent:
👉 Intent без action больше не будет попадать под какой-либо intent-filter. Запускать Activity или Serice нужно будет с заданием action.
Не понял что будет с явными Intent неэкспортированных компонентов, которым Action будет задаваться лишь для галочки в таком случае

👉 Явный Intent (с указанием класса Android компонента) для запуска компонента, которые имеет Intent Filter, обязательно должен попасть в один из них.

#android15 #безопасность
Bytemask - Gradle плагин, шифрующий строки в приложении, затрудняя их реверс инжениринг. Используется ключ подписи приложения для шифрования

#безопасность
SSL Pinning - техника по добавлению дополнительного слоя безопасности в SSL/TLS чтобы убедиться что клиент работает с определенным сертификатом сервера или публичным ключом. Вот инструкция (EN,4м) как настроить в Android

‼️Помните что это все равно не гарант абсолютной защиты вашего приложения, но это не значит что это не стоит делать

#безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Специалисты нашли серьезную проблему безопасности в библиотеке Jetpack Navigation. Уязвимость позволяет открывать любой Fragment внутри приложения, который добавлен в граф навигации.

Сделать это можно с помощью отправки специального Intent, который обрабатывает библиотека для поддержки deep link.

Больше деталей и примеров в статье (16м)

#jetpack #навигация #deeplink #безопасность
Google представила Android Application Security Knowledge Base (AAKB) - программы с руководствами по безопасности и рекомендациями по улучшению приложений в этой области. Все правила и рекомендацию разработаны на основе OWASP и в сотрудничестве с партнёрами, например Microsoft.

Правила с примерами плохо кода и как надо делать доступны на сайте, а также все проверки и рекомендации интегрированы в Android Studio, начиная с версии Giraffe. Android Lint на сегодня содержит 75 правил касательно безопасности

#androidstudio #безопасность
Статья (17м) про разработку приложения для обязательного ввода пароля перед входом в приложение. Автор реализовал свой Accessibility Service и роль приложения-админа

#accessibility #безопасность
Google Play Integrity API теперь сможет понимать что приложение поставлено не из Google Play и давать возможность разработчику форсировать переустановку версии из официального магазина приложений.

Необходимо включить настройку в Google Play консоле. После этого системна с Google Play Services будет блокировать запуск приложений на устройстве, если оно установлено из неизвестного источника.

Разработчикам это позволит бороться со взломами, установками приложений из неизвестных источников (пишут везде именно про sideloading). Пиратства и взломов много, а это возможность авторам защищаться и заставлять использовать приложение, установленное из официального источника.

Что будет считаться "неизвестный источник" я не нашёл, но явно Google Play доверенный. Не стоит говорить что Google запрещает sideloading или другие механизмы установки.

Делитесь в комментариях что думаете вы по поводу изменений

#googleplay #безопасность
Всем пора переходить на Credential Manager for Android. Google объявила отключение ряда сервисов в пользу Credential Manager:
Smart Lock for Passwords - первый квартал 2025
Credential Saving API - первое половина 2025
API: Sign in with Google button - первая половина 2025
One Tap Sign-in - до конца 2025
Google Sign-In for Android - до конца 2025

#безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Если вы используете Android FIDO2 API, то новость для вас! Ранее API работало на основе SafetyNet API. Теперь аттестация будет проводиться на основе железа. Пока только ранний доступ по запросу, а массовая доступность ожидается в апреле 2025. Подробности в анонсе

#безопасность