Güvenlik, Android'in temelini oluşturur. Kimlik Bilgisi Yöneticisi ve FLAG_SECURE gibi güçlü güvenlik araçları ve özellikleri sunarak platformun güvenliğini sağlamak ve kullanıcı verilerini korumak için sizinle birlikte çalışırız. Her Android sürümü performans ve güvenlik iyileştirmeleri sunar. Android 16 ile uygulamanızın savunmasını güçlendirmek için basit ama önemli adımlar atabilirsiniz. Erişilebilirlik API'leri için gelişmiş korumalarımız hakkında daha fazla bilgi edinmek için videomuzu izleyin veya okumaya devam edin.

Tek bir kod satırıyla uygulamanızı gözetlemeye karşı koruma

Kötü niyetli kişilerin bazen Accessibility API özelliklerini kullanarak şifreler ve finansal bilgiler gibi hassas bilgileri doğrudan ekrandan okumaya ve dokunma işlemleri ekleyerek kullanıcının cihazını manipüle etmeye çalıştığını gördük. Android 16, bu durumla mücadele etmek için tek bir kod satırında yeni ve güçlü bir savunma sağlar: accessibilityDataSensitive.

accessibilityDataSensitive işareti, bir görünümü veya composable'ı hassas veriler içeriyor olarak açıkça işaretlemenize olanak tanır. Bu işareti uygulamanızda true olarak ayarladığınızda, kötü amaçlı olabilecek uygulamaların hassas görünüm verilerinize erişmesini veya bu veriler üzerinde etkileşimde bulunmasını engellersiniz. Bu özellik şu şekilde çalışır: Kendisini açıkça meşru bir erişilebilirlik aracı olarak beyan etmemiş (isAccessibilityTool=true) ve erişilebilirlik izni isteyen tüm uygulamaların bu görünüme erişimi reddedilir.

Bu basit ama etkili değişiklik, kötü amaçlı yazılımların bilgi çalmasını ve yetkisiz işlemler gerçekleştirmesini önlemeye yardımcı olur. Üstelik bu değişiklik, kullanıcıların meşru erişilebilirlik araçlarıyla ilgili deneyimini etkilemez. Not: Bir uygulama erişilebilirlik aracı olmamasına rağmen erişilebilirlik izinleri isterse ve isAccessibilityTool=true ayarını yaparsa Play uygulamayı reddeder ve Google Play Protect, kullanıcı cihazlarında uygulamayı engeller. 

setFilterTouchesWhenObscured koruması için otomatik ve gelişmiş güvenlik

Bu yeni accessibilityDataSensitive güvenlik işlevini mevcut setFilterTouchesWhenObscured yöntemiyle entegre ettik. 

Uygulamanızı dokunarak ele geçirmeye karşı korumak için setFilterTouchesWhenObscured(true) kullanıyorsanız görünümleriniz erişilebilirlik için otomatik olarak hassas veri şeklinde değerlendirilir. setFilterTouchesWhenObscured yöntemini accessibilityDataSensitive korumalarıyla geliştirerek herkese anında ek bir savunma katmanı sunuyoruz. Üstelik bunun için ekstra bir işlem yapmanız gerekmiyor.

Başlarken

Giriş sayfaları, ödeme akışları ve kişisel ya da finansal verilerin gösterildiği tüm görünümler dahil olmak üzere hassas bilgi içeren tüm ekranlarda setFilterTouchesWhenObscured veya alternatif olarak accessibilityDataSensitive işaretini kullanmanızı öneririz.

Jetpack Compose için

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Görüntüleme tabanlı uygulamalar için

XML düzeninizde, hassas görünüme ilgili özelliği ekleyin.

Alternatif olarak, mülkü Java veya Kotlin'de programatik olarak ayarlayabilirsiniz:

accessibilityDataSensitive ve setFilterTouchesWhenObscured işaretleri hakkında daha fazla bilgiyi Tapjacking kılavuzunda bulabilirsiniz.

Kullanıcıların güvenliğini sağlamak için geliştiricilerle ortak çalışma

Bu özelliğin gerçek dünyadaki ihtiyaçları karşılamasını ve iş akışınıza sorunsuz bir şekilde entegre olmasını sağlamak için geliştiricilerle erken aşamada birlikte çalıştık.

"Müşterilerimizin hassas finansal verilerini korumaya her zaman öncelik verdik. Bu nedenle, erişilebilirlik tabanlı kötü amaçlı yazılımlara karşı kendi koruma katmanımızı oluşturmamız gerekti. Revolut, bu yeni ve resmi Android API'nin kullanıma sunulmasını güçlü bir şekilde destekliyor. Bu API, tek satırlık sağlam bir platform savunması için özel kodumuzdan kademeli olarak uzaklaşmamıza olanak tanıyor." 
- Vladimir Kozhevnikov, Revolut'ta Android Mühendisi

Bu özellikleri kullanarak kullanıcılarınızı kötü amaçlı erişilebilirlik tabanlı saldırılardan korumada önemli bir rol oynayabilirsiniz. Kullanıcıların güvenliğini sağlamak için tüm geliştiricilerin bu özellikleri uygulamalarına entegre etmelerini öneririz. 

Birlikte çalışarak herkes için daha güvenli ve güvenilir bir deneyim oluşturabiliriz.