Google publicerade idag ett blogginlägg som rekommenderar utvecklare av mobilapplikationer att kryptera data som genereras av sina applikationer på användarnas enheter, särskilt när de använder oskyddad extern lagring som är sårbar för piratkopiering.
Med tanke på att inte många referensramar är tillgängliga för samma sak, rekommenderar Google också att använda ett enkelt att implementera säkerhetsbibliotek som är tillgängligt som en del av Jetpack-programvarupaketet.
Jetpack Security (aka JetSec) -biblioteket med öppen källkod gör det möjligt för Android-applikationsutvecklare att enkelt läsa och skriva krypterade filer genom att följa bästa säkerhetspraxis, inklusive lagring av kryptografiska nycklar och skydd av filer som kan innehålla känslig data, API-nycklar, OAuth-symboler.
För att ge lite sammanhang erbjuder Android utvecklare två olika sätt att lagra applikationsdata. Den första är applikationsspecifik lagring, även känd som intern lagring, där filer lagras i sandiga mappar som är avsedda för användning av vissa applikationer och inte kan nås av andra applikationer på samma enhet.
Den andra är delad lagring, även känd som extern lagring, som ligger utanför sandlådeskyddet och ofta används för att lagra mediefiler och dokument.
Det har emellertid visat sig att de flesta applikationer använder extern lagring för att lagra känslig och privat information om användare och inte vidta tillräckliga åtgärder för att skydda den från andra applikationer, tillåta angripare att stjäla foton och videor och skada filer (kallad “Media File Jacking” ).
Konsekvenserna av samma sak demonstrerades för två år sedan med en “man-in-the-disk” -attack som gjorde det möjligt för angripare att kompromissa med applikationer genom att manipulera vissa data som utbyts mellan den och extern lagring.
Annan forskning visar sidokanalattacker som använder angripare som i hemlighet kan ta bilder och spela in videoklipp – även om de inte har särskild enhetsbehörighet att göra det, men bara genom att använda åtkomst till enhetens externa lagring.
För att förhindra sådana attacker levereras Android 10 med en funktion som heter ‘Scoped förvaring“Som sandlådor också applikationsdata i extern lagring och därmed begränsar applikationer från åtkomst till data som lagras av andra applikationer på din enhet. Men JetSec-biblioteket tar ett steg längre genom att erbjuda en lättanvänd lösning för att kryptera data för en extra skyddsnivå.
“Om din applikation använder delad lagring måste du kryptera data”, beskriver företaget. “I programmets hemkatalog måste din ansökan kryptera data om din ansökan hanterar känslig information inklusive men inte begränsat till personlig identifierbar information (PII), hälsoregister, ekonomiska uppgifter eller företagsdata.”
Dessutom rekommenderar Google också att applikationsutvecklare kombinerar kryptering med biometrisk information för ytterligare säkerhet och integritet.
Jetpack Security Library förhandsvisades ursprungligen i maj förra året på sin årliga utvecklarkonferens. Det kom som en del av en utvidgning av Android Jetpack, en samling Android-programvarukomponenter som hjälper utvecklare att följa bästa praxis och utforma applikationer av hög kvalitet.
