プロダクト ニュース

Android のセキュリティ強化: マルウェアによるアプリデータのスヌーピングを阻止

所要時間 2 分
Bennet Manuel & Robert Clifford

セキュリティは Android の基盤です。Google は、認証情報マネージャーFLAG_SECURE などの強力なセキュリティ ツールと機能を提供することで、プラットフォームの安全性を維持し、ユーザーデータを保護できるようデベロッパーの皆様をサポートしています。Android のリリースごとにパフォーマンスとセキュリティが強化されています。Android 16 では、アプリの防御を強化するための簡単で重要な対策を講じることができます。ユーザー補助 API の保護強化について詳しくは、動画をご覧いただくか、この記事をお読みください。

 

 

1 行のコードでスヌーピングからアプリを保護

悪意のあるユーザーが、ユーザー補助 API の機能を利用して、パスワードや財務情報などの機密情報を画面から直接読み取ったり、タッチ操作を挿入してユーザーのデバイスを操作したりしようとする事例が確認されています。この問題に対処するため、Android 16 では、1 行のコード で実現できる強力な新しい防御機能 accessibilityDataSensitive が提供されています。

accessibilityDataSensitive フラグを使用すると、ビューまたはコンポーザブルにセンシティブ データが含まれていることを明示的に示すことができます。アプリでこのフラグを true に設定すると、悪意のあるアプリが機密ビューデータにアクセスしたり、機密ビューデータに対して操作を行ったりすることを効果的に阻止できます。仕組みは次のとおりです。ユーザー補助ツールとして明示的に宣言されていない(isAccessibilityTool=true)アプリがユーザー補助権限をリクエストした場合、そのビューへのアクセスは拒否されます。

このシンプルながら効果的な変更により、正規のユーザー補助ツールのユーザー エクスペリエンスに影響を与えることなく、マルウェアによる情報の窃取や不正な操作の実行を防ぐことができます。注: アプリがユーザー補助ツールではないにもかかわらず、ユーザー補助権限をリクエストして isAccessibilityTool=true を設定した場合、Google Play で拒否され、Google Play プロテクトによってユーザーのデバイスでブロックされます。

setFilterTouchesWhenObscured 保護の自動強化

この新しい accessibilityDataSensitive セキュリティ機能は、既存の setFilterTouchesWhenObscured メソッドにすでに統合されています。

タップジャッキングからアプリを保護するために setFilterTouchesWhenObscured(true) をすでに使用している場合、ビューはユーザー補助のセンシティブ データとして自動的に 扱われます。accessibilityDataSensitive 保護によって setFilterTouchesWhenObscured メソッドを強化することで、追加の作業なしで防御レイヤを強化できます。

image.png

スタートガイド

ログインページ、支払いフロー、個人データや財務データが表示されるビューなど、機密情報を含む画面すべてに setFilterTouchesWhenObscured または accessibilityDataSensitive フラグを使用することをおすすめします。

Jetpack Compose の場合

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

 

semantics 修飾子を使用して、コンポーザブルに sensitiveData プロパティを適用します。

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

 

 

ビューベースのアプリの場合

XML レイアウトで、関連する属性を機密ビューに追加します。

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

<TextView android:filterTouchesWhenObscured="true" />

 

 

<TextView android:accessibilityDataSensitive="true" />

 

Java または Kotlin でプログラムによってプロパティを設定することもできます。

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

myView.filterTouchesWhenObscured = true;

 

 

myView.isAccessibilityDataSensitive = true;

 

 

myView.setFilterTouchesWhenObscured(true)

 

 

myView.setAccessibilityDataSensitive(true);

 

accessibilityDataSensitive フラグと setFilterTouchesWhenObscured フラグについて詳しくは、タップジャッキング ガイドをご覧ください。

デベロッパーとの連携によるユーザーの安全確保

Google は、この機能が実際のニーズを満たし、ワークフローにスムーズに統合されるように、早い段階からデベロッパーと協力して取り組んできました。

image.png

「当社は常にお客様の機密性の高い財務データの保護を最優先事項としており、ユーザー補助ベースのマルウェアに対する独自の保護レイヤを構築する必要がありました。Revolut は、この新しい公式 Android API の導入を強く支持しています。これにより、カスタムコードから徐々に移行し、堅牢な 1 行のプラットフォーム防御に移行できます。」
- Vladimir Kozhevnikov(Revolut の Android エンジニア)

これらの機能を導入することで、悪意のあるユーザー補助ベースの攻撃からユーザーを保護するうえで重要な役割を果たすことができます。ユーザーの安全を確保するため、すべてのデベロッパーがこれらの機能をアプリに統合することをおすすめします。

力を合わせて、すべての人にとってより安全で信頼できるエクスペリエンスを構築しましょう。

執筆者:

続きを読む