La sicurezza è fondamentale per Android. Collaboriamo con te per mantenere la piattaforma sicura e proteggere i dati utente offrendo strumenti e funzionalità di sicurezza avanzati, come Gestore delle credenziali e FLAG_SECURE. Ogni release di Android offre miglioramenti in termini di prestazioni e sicurezza e, con Android 16, puoi adottare misure semplici e significative per rafforzare le difese della tua app. Guarda il nostro video o continua a leggere per scoprire di più sulle nostre protezioni avanzate per le API di accessibilità.

Proteggere l'app da occhi indiscreti con una sola riga di codice

Abbiamo notato che a volte i malintenzionati tentano di sfruttare le funzionalità delle API di accessibilità per leggere informazioni sensibili, come password e dati finanziari, direttamente dallo schermo e manipolare il dispositivo di un utente inserendo tocchi. Per contrastare questo problema, Android 16 offre una nuova e potente difesa in una sola riga di codice: accessibilityDataSensitive.

Il flag accessibilityDataSensitive ti consente di contrassegnare esplicitamente una visualizzazione o un elemento componibile come contenente dati sensibili. Quando imposti questo flag su true nella tua app, blocchi essenzialmente l'accesso di app potenzialmente dannose ai tuoi dati di visualizzazione sensibili o l'esecuzione di interazioni. Ecco come funziona: a qualsiasi app che richiede l'autorizzazione di accessibilità e che non si è dichiarata esplicitamente come strumento di accessibilità legittimo (isAccessibilityTool=true) viene negato l'accesso a questa visualizzazione.

Questa modifica semplice ma efficace contribuisce a impedire ai malware di rubare informazioni ed eseguire azioni non autorizzate, il tutto senza influire sull'esperienza degli utenti con gli strumenti di accessibilità legittimi. Nota: se un'app non è uno strumento di accessibilità, ma richiede autorizzazioni di accessibilità e imposta isAccessibilityTool=true, Google Play la rifiuterà e Google Play Protect la bloccherà sui dispositivi degli utenti. 

Sicurezza automatica e avanzata per la protezione di setFilterTouchesWhenObscured

Abbiamo già integrato questa nuova funzionalità di sicurezza accessibilityDataSensitive con il metodo setFilterTouchesWhenObscured esistente. 

Se utilizzi già setFilterTouchesWhenObscured(true) per proteggere la tua app dal tapjacking, le tue visualizzazioni vengono trattate automaticamente come dati sensibili per l'accessibilità. Migliorando il metodo setFilterTouchesWhenObscured con le protezioni accessibilityDataSensitive, offriamo a tutti un ulteriore livello di difesa senza alcun lavoro aggiuntivo.

Per iniziare

Ti consigliamo di utilizzare setFilterTouchesWhenObscured o, in alternativa, il flag accessibilityDataSensitive in qualsiasi schermata che contenga informazioni sensibili, incluse le pagine di accesso, i flussi di pagamento e qualsiasi visualizzazione che mostri dati personali o finanziari.

Per Jetpack Compose

val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } }

BasicText { text = “Your password”,

            modifier = Modifier.semantics {

                sensitiveData = true }}

Per le app basate su visualizzazioni

Nel layout XML, aggiungi l'attributo pertinente alla visualizzazione sensibile.

In alternativa, puoi impostare la proprietà in modo programmatico in Java o Kotlin:

Scopri di più sui flag accessibilityDataSensitive e setFilterTouchesWhenObscured nella guida al tapjacking.

Collaborazione con gli sviluppatori per garantire la sicurezza degli utenti

Abbiamo collaborato con gli sviluppatori fin dall'inizio per assicurarci che questa funzionalità soddisfi le esigenze reali e si integri perfettamente nel tuo flusso di lavoro.

"Abbiamo sempre dato la priorità alla protezione dei dati finanziari sensibili dei nostri clienti, il che ci ha richiesto di creare un nostro livello di protezione contro i malware basati sull'accessibilità. Revolut sostiene con forza l'introduzione di questa nuova API Android ufficiale, in quanto ci consente di abbandonare gradualmente il nostro codice personalizzato a favore di una difesa della piattaforma solida e a riga singola". 
- Vladimir Kozhevnikov, ingegnere Android presso Revolut

Puoi svolgere un ruolo fondamentale nella protezione dei tuoi utenti da attacchi dannosi basati sull'accessibilità adottando queste funzionalità. Invitiamo tutti gli sviluppatori a integrare queste funzionalità nelle loro app per contribuire a proteggere gli utenti. 

Insieme, possiamo creare un'esperienza più sicura e affidabile per tutti.