Mobilné Správy, Gadgety, Blogy's Secenziami

Spoločnosť Google odporúča vývojárom Androidu, aby šifrovali údaje aplikácií na zariadení

Spoločnosť Google dnes uverejnila blogový príspevok, v ktorom odporúča vývojárom mobilných aplikácií šifrovať údaje, ktoré ich aplikácie generujú na zariadeniach používateľov, najmä ak používajú nechránené externé úložisko, ktoré je náchylné na únos.

Spoločnosť Google okrem toho vzhľadom na to, že pre ňu nie je veľa referenčných rámcov, odporučila použitie ľahko implementovateľnej knižnice zabezpečenia, ktorá je k dispozícii ako súčasť jej softvérového balíka Jetpack.

Knižnica Jetpack Security (známa ako JetSec) s otvoreným zdrojom umožňuje vývojárom aplikácií pre Android ľahko čítať a zapisovať šifrované súbory podľa osvedčených bezpečnostných postupov vrátane ukladania kryptografických kľúčov a ochrany súborov, ktoré môžu obsahovať citlivé údaje, kľúče API a tokeny OAuth.

V snahe dať trochu kontextu, Android ponúka vývojárom dva rôzne spôsoby, ako ukladať dáta aplikácií. Prvým z nich je úložisko špecifické pre aplikáciu, známe tiež ako interné úložisko, kde sú súbory uložené v priečinku s karanténami určenom na použitie konkrétnou aplikáciou a neprístupné pre iné aplikácie na rovnakom zariadení.

Druhým je zdieľané úložisko, známe tiež ako externé úložisko, ktoré je umiestnené mimo ochrany karantény a často sa používa na ukladanie súborov médií a dokumentov.

Zistilo sa však, že väčšina aplikácií používa externý ukladací priestor na ukladanie citlivých a súkromných údajov o používateľoch a neprijíma primerané opatrenia na jeho ochranu pred inými aplikáciami, čo útočníkom umožňuje ukradnúť fotografie a videá a neoprávnené zásahy (tzv. „Zosúladenie mediálnych súborov“).

Dôsledky toho istého boli demonštrované pred dvoma rokmi útokmi typu „muž na disku“, ktoré útočníkom umožňujú kompromitovať aplikáciu manipuláciou s určitými údajmi, ktoré sa medzi ňou a externým úložiskom vymieňajú.

Ďalší výskum preukázal útok na bočnom kanáli, pomocou ktorého môžu útočníci tajne fotografovať a zaznamenávať videá – aj keď na to nemajú konkrétne povolenia zariadenia, ale iba využitím prístupu k externému úložisku zariadenia.

Aby sa zabránilo takýmto útokom, systém Android 10 sa dodáva s funkciou s názvom „Úložný priestor“, ktorá tiež ukladá údaje každej aplikácie do externého úložiska, čím sa aplikáciám obmedzuje prístup k údajom uloženým inými aplikáciami na vašom zariadení. Knižnica JetSec to však posunie ešte o krok ďalej a ponúka ľahko použiteľné riešenie na šifrovanie údajov pre vyššiu úroveň ochrany.

„Ak vaša aplikácia používa zdieľané úložisko, mali by ste šifrovať údaje,“ uviedla spoločnosť. „V domovskom adresári aplikácie by mala vaša aplikácia šifrovať údaje, ak vaša aplikácia spracúva citlivé informácie vrátane, ale nielen, informácií umožňujúcich identifikáciu osôb (PII), zdravotných záznamov, finančných údajov alebo podnikových údajov.“

Spoločnosť Google navyše odporúča, aby vývojári aplikácií kombinovali šifrovanie s biometrickými informáciami, aby sa zvýšila bezpečnosť a ochrana osobných údajov.

Knižnica Jetpack Security bola pôvodne zobrazená minulý rok v máji na svojej výročnej konferencii pre vývojárov. Je súčasťou rozšírenia systému Android Jetpack, kolekcie softvérových komponentov pre Android, ktoré vývojárom pomáhajú dodržiavať osvedčené postupy a navrhovať vysoko kvalitné aplikácie.