제품 소식

Android 보안 강화: 멀웨어가 앱 데이터를 스누핑하지 못하도록 방지

읽는 데 2분 소요
Bennet Manuel & Robert Clifford

보안은 Android의 기본입니다. Google은 Credential Manager, FLAG_SECURE와 같은 강력한 보안 도구와 기능을 제공하여 플랫폼을 안전하게 유지하고 사용자 데이터를 보호합니다. 모든 Android 버전은 성능과 보안을 향상하며 Android 16을 사용하면 간단하고 효과적인 단계로 앱의 방어를 강화할 수 있습니다. 동영상을 시청하거나 계속 읽어 접근성 API를 위한 향상된 보호 기능에 대해 자세히 알아보세요.

 

 

단 한 줄의 코드로 앱을 스누핑으로부터 보호

악의적인 사용자가 접근성 API 기능을 악용하여 비밀번호, 금융 세부정보와 같은 민감한 정보를 화면에서 직접 읽고 터치를 삽입하여 사용자의 기기를 조작하는 경우가 있습니다. 이를 방지하기 위해 Android 16에서는 단 한 줄의 코드인 accessibilityDataSensitive를 통해 강력한 새로운 방어 기능을 제공합니다.

accessibilityDataSensitive 플래그를 사용하면 뷰나 컴포저블을 민감한 정보가 포함된 것으로 명시적으로 표시할 수 있습니다. 앱에서 이 플래그를 true로 설정하면 잠재적으로 악의적인 앱이 민감한 뷰 데이터에 액세스하거나 상호작용을 실행하는 것을 차단할 수 있습니다. 작동 방식은 다음과 같습니다. 접근성 권한을 요청하는 앱이 합법적인 접근성 도구로 명시적으로 선언되지 않은 경우 (isAccessibilityTool=true) 해당 뷰에 대한 액세스가 거부됩니다.

이 간단하지만 효과적인 변경사항은 멀웨어가 정보를 도용하고 승인되지 않은 작업을 실행하는 것을 방지하는 데 도움이 되며, 합법적인 접근성 도구의 사용자 환경에는 영향을 미치지 않습니다. 참고: 앱이 접근성 도구가 아닌데 접근성 권한을 요청하고 isAccessibilityTool=true를 설정하면 Play에서 거부하고 Google Play 프로텍트에서 사용자 기기에서 차단합니다. 

setFilterTouchesWhenObscured 보호를 위한 자동 보안 강화

이 새로운 accessibilityDataSensitive 보안 기능은 기존 setFilterTouchesWhenObscured 메서드와 이미 통합되어 있습니다. 

탭재킹으로부터 앱을 보호하기 위해 이미 setFilterTouchesWhenObscured(true)를 사용하고 있다면 접근성을 위해 뷰가 자동으로 민감한 정보로 처리됩니다. accessibilityDataSensitive 보호 기능으로 setFilterTouchesWhenObscured 메서드를 강화함으로써 추가 작업 없이 모든 사용자에게 즉시 추가 방어 레이어를 제공합니다.

image.png

시작하기

로그인 페이지, 결제 흐름, 개인 정보 또는 금융 데이터를 표시하는 뷰 등 민감한 정보가 포함된 화면에서는 setFilterTouchesWhenObscured를 사용하거나 accessibilityDataSensitive 플래그를 사용하는 것이 좋습니다.

Jetpack Compose

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

 

semantics 수정자를 사용하여 sensitiveData 속성을 컴포저블에 적용합니다.

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

 

 

뷰 기반 앱의 경우

XML 레이아웃에서 민감한 뷰에 관련 속성을 추가합니다.

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

<TextView android:filterTouchesWhenObscured="true" />

 

 

<TextView android:accessibilityDataSensitive="true" />

 

또는 Java나 Kotlin에서 프로그래매틱 방식으로 속성을 설정할 수 있습니다.

setFilterTouchesWhenObscuredaccessibilityDataSensitive

 

myView.filterTouchesWhenObscured = true;

 

 

myView.isAccessibilityDataSensitive = true;

 

 

myView.setFilterTouchesWhenObscured(true)

 

 

myView.setAccessibilityDataSensitive(true);

 

accessibilityDataSensitive 및 setFilterTouchesWhenObscured 플래그에 관한 자세한 내용은 탭재킹 가이드를 참고하세요.

개발자와 협력하여 사용자를 안전하게 보호

Google은 이 기능이 실제 요구사항을 충족하고 워크플로에 원활하게 통합되도록 개발자와 협력했습니다.

image.png

'Google은 항상 고객의 민감한 금융 데이터를 보호하는 데 우선순위를 두었으며, 이를 위해 접근성 기반 멀웨어에 대한 자체 보호 계층을 구축해야 했습니다. Revolut은 이 새로운 공식 Android API의 도입을 적극적으로 지지합니다. 이 API를 통해 맞춤 코드를 강력한 단일 라인 플랫폼 방어로 점진적으로 대체할 수 있기 때문입니다.' 
- 블라디미르 코제브니코프, Revolut Android 엔지니어

이러한 기능을 채택하면 악의적인 접근성 기반 공격으로부터 사용자를 보호하는 데 중요한 역할을 할 수 있습니다. 모든 개발자는 사용자를 안전하게 보호할 수 있도록 이러한 기능을 앱에 통합하는 것이 좋습니다. 

함께 힘을 모아 모두를 위해 더 안전하고 신뢰할 수 있는 환경을 만들 수 있습니다.

작성자:

계속 읽기