Sicherheit ist ein grundlegender Bestandteil von Android. Wir arbeiten mit Ihnen zusammen, um die Plattform sicher zu halten und Nutzerdaten zu schützen. Dazu bieten wir leistungsstarke Sicherheitstools und ‑funktionen wie den Credential Manager und FLAG_SECURE. Jede Android-Version bringt Leistungs- und Sicherheitsverbesserungen mit sich. Mit Android 16 können Sie einfache, aber wirkungsvolle Maßnahmen ergreifen, um die Sicherheit Ihrer App zu erhöhen. In unserem Video oder im folgenden Text erfahren Sie mehr über unsere verbesserten Schutzmaßnahmen für Bedienungshilfen-APIs.

Mit einer einzigen Codezeile Ihre App vor dem Ausspähen schützen

Wir haben festgestellt, dass böswillige Akteure manchmal versuchen, Funktionen der Bedienungshilfen-API zu nutzen, um sensible Informationen wie Passwörter und Finanzdaten direkt vom Bildschirm zu lesen und das Gerät eines Nutzers zu manipulieren, indem sie Berührungen simulieren. Um dies zu verhindern, bietet Android 16 mit einer einzigen Codezeile eine neue, leistungsstarke Schutzmaßnahme: accessibilityDataSensitive.

Mit dem Flag accessibilityDataSensitive können Sie eine Ansicht oder ein zusammensetzbares Element explizit als sensibel kennzeichnen. Wenn Sie dieses Flag in Ihrer App auf true setzen, verhindern Sie, dass potenziell schädliche Apps auf Ihre sensiblen Ansichtsdaten zugreifen oder Aktionen darauf ausführen. So funktioniert es: Jeder App, die eine Bedienungshilfen-Berechtigung anfordert und sich nicht explizit als legitimes Bedienungshilfen-Tool deklariert hat (isAccessibilityTool=true), wird der Zugriff auf diese Ansicht verweigert.

Diese einfache, aber effektive Änderung trägt dazu bei, dass Malware keine Informationen stehlen und keine unbefugten Aktionen ausführen kann. Die Nutzererfahrung mit legitimen Bedienungshilfen-Tools wird dadurch nicht beeinträchtigt. Hinweis: Wenn eine App kein Bedienungshilfen-Tool ist, aber Bedienungshilfen-Berechtigungen anfordert und isAccessibilityTool=true festlegt, wird sie von Google Play abgelehnt und von Google Play Protect auf den Geräten der Nutzer blockiert. 

Automatischer, verbesserter Schutz für setFilterTouchesWhenObscured

Wir haben diese neue Sicherheitsfunktion accessibilityDataSensitive bereits in die vorhandene Methode setFilterTouchesWhenObscured integriert. 

Wenn Sie setFilterTouchesWhenObscured(true) bereits verwenden, um Ihre App vor Tapjacking zu schützen, werden Ihre Ansichten für Bedienungshilfen automatisch als sensible Daten behandelt. Durch die Erweiterung der Methode setFilterTouchesWhenObscured um den Schutz accessibilityDataSensitive erhalten alle Nutzer ohne zusätzlichen Aufwand eine zusätzliche Verteidigungsebene.

Erste Schritte

Wir empfehlen, setFilterTouchesWhenObscured oder alternativ das Flag accessibilityDataSensitive auf allen Bildschirmen zu verwenden, die sensible Informationen enthalten, einschließlich Anmeldeseiten, Zahlungsabläufen und allen Ansichten, in denen personenbezogene Daten oder Finanzdaten angezeigt werden.

Für Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Für ansichtsbasierte Apps

Fügen Sie in Ihrem XML-Layout das entsprechende Attribut zur sensiblen Ansicht hinzu.

Alternativ können Sie das Attribut programmatisch in Java oder Kotlin festlegen:

Weitere Informationen zu den Flags accessibilityDataSensitive und setFilterTouchesWhenObscured finden Sie im Leitfaden zu Tapjacking.

Zusammenarbeit mit Entwicklern für mehr Nutzersicherheit

Wir haben frühzeitig mit Entwicklern zusammengearbeitet, um sicherzustellen, dass diese Funktion den Anforderungen der Praxis entspricht und sich nahtlos in Ihren Workflow einfügt.

Der Schutz der sensiblen Finanzdaten unserer Kunden hat für uns immer höchste Priorität. Deshalb mussten wir eine eigene Schutzebene gegen Malware entwickeln, die auf Bedienungshilfen basiert. Revolut unterstützt die Einführung dieser neuen, offiziellen Android-API ausdrücklich, da wir so unseren benutzerdefinierten Code schrittweise durch eine robuste, einzeilige Plattformverteidigung ersetzen können.“
– Vladimir Kozhevnikov, Android-Entwickler bei Revolut

Sie können einen entscheidenden Beitrag dazu leisten, Ihre Nutzer vor böswilligen Angriffen zu schützen, die auf Bedienungshilfen basieren, indem Sie diese Funktionen nutzen. Wir empfehlen allen Entwicklern, diese Funktionen in ihre Apps zu integrieren, um die Sicherheit der Nutzer zu erhöhen. 

Gemeinsam können wir eine sicherere und vertrauenswürdigere Plattform für alle schaffen.