Khuyến cáo từ Google: Nhà phát triển Android hãy mã hóa dữ liệu ứng dụng trên thiết bị

www.tuoitre.vn -   02/03/2020 12:00:00 1234

Google mới đây đã đăng một bài viết trên blog khuyến nghị các nhà phát triển ứng dụng di động mã hóa dữ liệu phát sinh khi app chạy, nhất là khi người dùng sử dụng bộ nhớ ngoài không được bảo vệ, dễ bị tấn công.

Vì số lượng frameworks liên quan và có sẵn không nhiều, Google khuyên bạn nên sử dụng thư viện bảo mật dễ dùng có sẵn như là một phần của bộ phần mềm Jetpack (Jetpack – một tập hợp plugin được Automattic phát triển cho nền tảng WordPress.com).

Nhà phát triển Android hãy mã hóa dữ liệu ứng dụng trên thiết bị

Thư viện Jetpack Security (còn gọi là JetSec) có nguồn mở cho phép các nhà phát triển ứng dụng Android dễ dàng đọc và ghi các tệp được mã hóa với các bước bảo mật tốt như: lưu trữ khóa mật mã và bảo vệ các tệp (có thể chứa dữ liệu nhạy cảm), khóa API, mã thông báo OAuth.

Android gợi ý hai cách khác nhau để các nhà phát triển lưu dữ liệu ứng dụng. Cách thứ nhất là dùng bộ nhớ dành riêng cho ứng dụng (bộ nhớ trong). Lưu trữ tệp trong thư mục sandbox ở một ứng dụng, không cho truy cập vào các ứng dụng khác của thiết bị.

Cách thứ hai là chia sẻ lưu trữ (lưu trữ ngoài). Lưu trữ ngoài sandbox, thường được sử dụng để lưu trữ các tệp tài liệu và phương tiện.

Tuy nhiên, phần lớn các ứng dụng sử dụng bộ nhớ ngoài để lưu trữ dữ liệu nhạy cảm và riêng tư sử dụng thiết bị lưu trữ và không có các biện pháp thích hợp để bảo vệ khỏi các ứng dụng khác. Điều này cho phép kẻ tấn công ăn cắp ảnh, video và giả mạo các tệp (Media File Jacking).

Hai năm trước có cuộc tấn công với cách thức tương tự là “man-in-the-disk”. Kẻ tấn công có thể gây hại cho một ứng dụng bằng cách điều khiển một số dữ liệu được trao đổi giữa nó và bộ nhớ ngoài.

Một nghiên cứu khác đã chứng minh cuộc tấn công kênh bên (side-channel attack). Những kẻ tấn công có thể bí mật chụp ảnh và quay video dù không có quyền chỉ bằng cách lợi dụng quyền truy cập vào bộ nhớ ngoài của thiết bị.

Để ngăn chặn các cuộc tấn công như vậy, Android 10 cũng có một tính năng gọi là ‘Bộ lưu trữ giới hạn’. Tính năng này sẽ phân tách dữ liệu của từng ứng dụng trong bộ nhớ ngoài, hạn chế việc lén truy cập dữ liệu của các ứng dụng khác trên thiết bị. Thư viện JetSec còn có thêm giải pháp dễ sử dụng để mã hóa dữ liệu, tăng mức độ bảo vệ.

Google phát biểu “Nếu ứng dụng của bạn sử dụng chia sẻ lưu trữ, bạn nên mã hóa dữ liệu”. “Trong thư mục nhà của ứng dụng, nếu ứng dụng của bạn xử lý thông tin nhạy cảm và không giới hạn như thông tin nhận dạng cá nhân (PII – personally identifiable information), hồ sơ sức khỏe, chi tiết tài chính hoặc dữ liệu doanh nghiệp thì nó sẽ mã hóa dữ liệu.”

Google cũng khuyến nghị các nhà phát triển ứng dụng nên kết hợp mã hóa với thông tin sinh trắc học để tăng thêm tính bảo mật và quyền riêng tư.

Thư viện Jetpack Security được giới thiệu bản xem trước vào tháng 5 năm ngoái tại hội nghị nhà phát triển hàng năm. Đó là một phần của việc mở rộng Android Jetpack – một bộ sưu tập thành phần phần mềm Android giúp các nhà phát triển thực hiện các bước đi đúng đắn và thiết kế các ứng dụng chất lượng cao.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 78
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 96
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 82
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 60
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 41
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 43
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button