Sicherheit ist ein grundlegender Bestandteil von Android. Wir arbeiten mit Ihnen zusammen, um die Plattform sicher zu halten und Nutzerdaten zu schützen. Dazu bieten wir leistungsstarke Sicherheitstools und ‑funktionen wie den Credential Manager und FLAG_SECURE. Jede Android-Version bietet Verbesserungen bei Leistung und Sicherheit. Mit Android 16 können Sie einfache, aber wirkungsvolle Maßnahmen ergreifen, um die Sicherheit Ihrer App zu erhöhen. In unserem Video oder im folgenden Text erfahren Sie mehr über unsere verbesserten Schutzmaßnahmen für Bedienungshilfe-APIs.

App mit einer einzigen Codezeile vor Schnüfflern schützen

Wir haben festgestellt, dass böswillige Akteure manchmal versuchen, Funktionen der Bedienungshilfen-API auszunutzen, um sensible Informationen wie Passwörter und Finanzdaten direkt vom Bildschirm zu lesen und das Gerät eines Nutzers durch das Einfügen von Berührungen zu manipulieren. Um dem entgegenzuwirken, bietet Android 16 eine neue, leistungsstarke Schutzfunktion in einer einzigen Codezeile: accessibilityDataSensitive.

Mit dem Flag accessibilityDataSensitive können Sie eine Ansicht oder Composable-Funktion explizit als vertrauliche Daten enthaltend kennzeichnen. Wenn Sie dieses Flag in Ihrer App auf true setzen, verhindern Sie, dass potenziell schädliche Apps auf Ihre vertraulichen Ansichtsdaten zugreifen oder Interaktionen damit ausführen. So funktioniert es: Jede App, die eine Berechtigung für Bedienungshilfen anfordert und sich nicht explizit als legitimes Bedienungshilfe-Tool deklariert hat (isAccessibilityTool=true), erhält keinen Zugriff auf diese Ansicht.

Diese einfache, aber effektive Änderung trägt dazu bei, dass Malware keine Informationen stehlen und keine unbefugten Aktionen ausführen kann. Die Nutzung legitimer Bedienungshilfen wird dadurch nicht beeinträchtigt. Hinweis: Wenn eine App kein Tool für Barrierefreiheit ist, aber Berechtigungen für Barrierefreiheit anfordert und isAccessibilityTool=true festlegt, wird sie von Google Play abgelehnt und von Google Play Protect auf Nutzergeräten blockiert. 

Automatischer, verbesserter Schutz für setFilterTouchesWhenObscured

Wir haben diese neue accessibilityDataSensitive-Sicherheitsfunktion bereits in die bestehende setFilterTouchesWhenObscured-Methode integriert. 

Wenn Sie setFilterTouchesWhenObscured(true) bereits verwenden, um Ihre App vor Tapjacking zu schützen, werden Ihre Ansichten für die Barrierefreiheit automatisch als sensible Daten behandelt. Durch die Erweiterung der setFilterTouchesWhenObscured-Methode mit accessibilityDataSensitive-Schutzmaßnahmen bieten wir allen Nutzern ohne zusätzlichen Aufwand eine zusätzliche Sicherheitsebene.

Erste Schritte

Wir empfehlen, auf allen Bildschirmen, die vertrauliche Informationen enthalten, setFilterTouchesWhenObscured oder alternativ das Flag accessibilityDataSensitive zu verwenden, einschließlich Anmeldeseiten, Zahlungsabläufe und alle Ansichten, in denen personenbezogene oder Finanzdaten angezeigt werden.

Für Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Für ansichtsbasierte Apps

Fügen Sie dem XML-Layout das entsprechende Attribut für die vertrauliche Ansicht hinzu.

Alternativ können Sie das Attribut programmatisch in Java oder Kotlin festlegen:

Weitere Informationen zu den Flags accessibilityDataSensitive und setFilterTouchesWhenObscured finden Sie im Leitfaden zu Tapjacking.

Zusammenarbeit mit Entwicklern für mehr Sicherheit für Nutzer

Wir haben frühzeitig mit Entwicklern zusammengearbeitet, um sicherzustellen, dass diese Funktion den Anforderungen der Praxis entspricht und sich nahtlos in Ihren Workflow einfügt.

„Der Schutz der sensiblen Finanzdaten unserer Kunden hatte für uns immer höchste Priorität. Deshalb mussten wir eine eigene Schutzebene gegen Malware entwickeln, die auf Barrierefreiheit basiert. Revolut unterstützt die Einführung dieser neuen, offiziellen Android-API nachdrücklich, da sie es uns ermöglicht, unseren benutzerdefinierten Code schrittweise durch eine robuste, einzeilige Plattformverteidigung zu ersetzen.“ 
– Vladimir Kozhevnikov, Android Engineer bei Revolut

Sie können einen wichtigen Beitrag zum Schutz Ihrer Nutzer vor böswilligen Angriffen auf Grundlage von Barrierefreiheit leisten, indem Sie diese Funktionen nutzen. Wir empfehlen allen Entwicklern, diese Funktionen in ihre Apps zu integrieren, um Nutzer zu schützen. 

Gemeinsam können wir eine sicherere und vertrauenswürdigere Umgebung für alle schaffen.