Google рекомендовала разработчикам приложений шифровать данные

Google рекомендовала разработчикам приложений шифровать данные

Разработчикам следует шифровать генерируемые приложениями данные, особенно если они используют внешние хранилища.

image

Компания Google призвала разработчиков мобильных приложений к внедрению шифрования для всех данных, генерируемых их приложениями на устройствах пользователей, в особенности, если они используют уязвимые к взломам внешние хранилища. Учитывая, что справочная база для этого не столь велика, Google рекомендовала использовать простую в реализации библиотеку безопасности, входящую в ее пакет программного обеспечения Jetpack.

Библиотека с октрытом исходным кодом Jetpack Security (JetSec) позволяет разработчикам Android-приложений с легкостью читать и записывать зашифрованные файлы, следуя лучшим практикам безопасности, включая хранение криптографических ключей и защиту файлов, содержащих конфиденциальные данные, ключи API и токены OAuth.

ОС Android предлагает разработчикам два способа хранения генерируемых приложениями данных. Первый способ – использовать внутреннее хранилище, где файлы хранятся в изолированной папке, предназначенной для использования определенным приложением и недоступной для других приложений на том же устройстве. Второй способ – хранить данные во внешнем хранилище, находящемся за пределами песочницы и часто использующемся для хранения медиафайлов и документов.

Большинство приложений используют для хранения конфиденциальных данных пользователей внешние хранилища, незащищенные от доступа к ним других приложений. Это дает возможность хакерам похищать чувствительную информацию, включая фото и видео, и модифицировать файлы.

Для предотвращения возможных атак в Android 10 появилась функция Scoped Storage, защищающая данные каждого приложения во внешних хранилищах с помощью песочницы. JetSec идет еще дальше и добавляет дополнительный уровень защиты – шифрование. Google также рекомендовала разработчикам комбинировать шифрование с биометрической информацией для большей безопасности.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle