تنصح Google مطوري Android بتشفير بيانات التطبيق على الجهاز::
نشر Google اليوم منشورًا مدونيًا يوصي فيه مطوري تطبيقات الجوال بتشفير البيانات التي تنشئها تطبيقاتهم على أجهزة المستخدمين ، خاصةً عند استخدامهم وحدة تخزين خارجية غير محمية عرضة للاختطاف.
علاوة على ذلك ، نظرًا إلى عدم توفر العديد من الأطر المرجعية لنفسه ، فقد نصحت Google أيضًا باستخدام مكتبة أمان سهلة التنفيذ متوفرة كجزء من مجموعة برامج Jetpack.
تتيح مكتبة Jetpack Security (
المصدر JetSec) المفتوحة المصدر لمطوري تطبيقات Android من قراءة وكتابة الملفات المشفرة بسهولة عن طريق اتباع أفضل ممارسات الأمان ، بما في ذلك تخزين مفاتيح التشفير وحماية الملفات التي قد تحتوي على بيانات حساسة ، ومفاتيح API ، ورموز OAuth.
لإعطاء القليل من السياق ، يقدم Android للمطورين طريقتين مختلفتين لحفظ بيانات التطبيق. أولها هو التخزين المخصص للتطبيق ، والمعروف أيضًا باسم التخزين الداخلي ، حيث يتم تخزين الملفات في مجلد الصندوق الرملي المخصص لاستخدام تطبيق معين ولا يمكن الوصول إليها من تطبيقات أخرى على الجهاز نفسه.
الآخر هو التخزين المشترك ، والمعروف أيضًا باسم التخزين الخارجي ، والذي يقع خارج حماية صندوق الحماية وغالبًا ما يستخدم لتخزين الوسائط وملفات المستندات.
ومع ذلك ، فقد تبين أن غالبية التطبيقات تستخدم وحدة تخزين خارجية لتخزين البيانات الحساسة والخاصة على المستخدمين ولا تتخذ التدابير الكافية لحمايتها من التطبيقات الأخرى ، مما يسمح للمهاجمين بسرقة الصور ومقاطع الفيديو ، والعبث بالملفات (تسمى "ملف وسائط الاصطياد").
تم إظهار عواقب ذلك قبل عامين من خلال هجمات " man-in-the-disk " التي تمكن المهاجمين من اختراق التطبيق عن طريق معالجة بعض البيانات التي يتم تبادلها بينها وبين وحدة التخزين الخارجية.
أظهر بحث آخرهجوم على القناة الجانبية باستخدام المهاجمين الذين يمكنهم التقاط الصور وتسجيل مقاطع الفيديو بشكل سري .
حتى عندما لا يكون لديهم أذونات جهاز محددة للقيام بذلك ، ولكن فقط من خلال الاستفادة من الوصول إلى وحدة التخزين الخارجية للجهاز.
لمنع حدوث مثل هذه الهجمات ، يتم شحن Android 10 بميزة تسمى " التخزين على النطاقات " تقوم بوضع الرمل على بيانات كل تطبيق في وحدة التخزين الخارجية أيضًا ، مما يحد من التطبيقات من الوصول إلى البيانات المحفوظة بواسطة تطبيقات أخرى على جهازك.
لكن مكتبة JetSec تأخذها خطوة أخرى إلى الأمام من خلال تقديم حل سهل الاستخدام لتشفير البيانات للحصول على مستوى إضافي من الحماية.
"إذا كان التطبيق الخاص بك يستخدم مساحة تخزين مشتركة ، فيجب عليك تشفير البيانات" ، كما أوضحت الشركة .
"في دليل التطبيق الرئيسي ، يجب أن يشفر تطبيقك البيانات إذا كان تطبيقك يتعامل مع المعلومات الحساسة بما في ذلك على سبيل المثال لا الحصر ، المعلومات التعريفية الشخصية (PII) أو السجلات الصحية أو التفاصيل المالية أو بيانات المؤسسة."
والأكثر من ذلك ، توصي Google أيضًا بأنه يجب على مطوري التطبيقات الجمع بين التشفير والمعلومات البيومترية لمزيد من الأمان والخصوصية.
تمت معاينة مكتبة Jetpack Security في الأصل في مايو الماضي في مؤتمر المطور السنوي. يأتي كجزء من توسيع Android Jetpack ، مجموعة من مكونات برامج Android التي تساعد المطورين على اتباع أفضل الممارسات وتصميم تطبيقات عالية الجودة.
هل لديك ما تقوله حول هذه المقالة؟