Khuyến cáo từ Google: Nhà phát triển Android hãy mã hóa dữ liệu ứng dụng trên thiết bị

www.tuoitre.vn -   02/03/2020 12:00:00 1078

Google mới đây đã đăng một bài viết trên blog khuyến nghị các nhà phát triển ứng dụng di động mã hóa dữ liệu phát sinh khi app chạy, nhất là khi người dùng sử dụng bộ nhớ ngoài không được bảo vệ, dễ bị tấn công.

Vì số lượng frameworks liên quan và có sẵn không nhiều, Google khuyên bạn nên sử dụng thư viện bảo mật dễ dùng có sẵn như là một phần của bộ phần mềm Jetpack (Jetpack – một tập hợp plugin được Automattic phát triển cho nền tảng WordPress.com).

Nhà phát triển Android hãy mã hóa dữ liệu ứng dụng trên thiết bị

Thư viện Jetpack Security (còn gọi là JetSec) có nguồn mở cho phép các nhà phát triển ứng dụng Android dễ dàng đọc và ghi các tệp được mã hóa với các bước bảo mật tốt như: lưu trữ khóa mật mã và bảo vệ các tệp (có thể chứa dữ liệu nhạy cảm), khóa API, mã thông báo OAuth.

Android gợi ý hai cách khác nhau để các nhà phát triển lưu dữ liệu ứng dụng. Cách thứ nhất là dùng bộ nhớ dành riêng cho ứng dụng (bộ nhớ trong). Lưu trữ tệp trong thư mục sandbox ở một ứng dụng, không cho truy cập vào các ứng dụng khác của thiết bị.

Cách thứ hai là chia sẻ lưu trữ (lưu trữ ngoài). Lưu trữ ngoài sandbox, thường được sử dụng để lưu trữ các tệp tài liệu và phương tiện.

Tuy nhiên, phần lớn các ứng dụng sử dụng bộ nhớ ngoài để lưu trữ dữ liệu nhạy cảm và riêng tư sử dụng thiết bị lưu trữ và không có các biện pháp thích hợp để bảo vệ khỏi các ứng dụng khác. Điều này cho phép kẻ tấn công ăn cắp ảnh, video và giả mạo các tệp (Media File Jacking).

Hai năm trước có cuộc tấn công với cách thức tương tự là “man-in-the-disk”. Kẻ tấn công có thể gây hại cho một ứng dụng bằng cách điều khiển một số dữ liệu được trao đổi giữa nó và bộ nhớ ngoài.

Một nghiên cứu khác đã chứng minh cuộc tấn công kênh bên (side-channel attack). Những kẻ tấn công có thể bí mật chụp ảnh và quay video dù không có quyền chỉ bằng cách lợi dụng quyền truy cập vào bộ nhớ ngoài của thiết bị.

Để ngăn chặn các cuộc tấn công như vậy, Android 10 cũng có một tính năng gọi là ‘Bộ lưu trữ giới hạn’. Tính năng này sẽ phân tách dữ liệu của từng ứng dụng trong bộ nhớ ngoài, hạn chế việc lén truy cập dữ liệu của các ứng dụng khác trên thiết bị. Thư viện JetSec còn có thêm giải pháp dễ sử dụng để mã hóa dữ liệu, tăng mức độ bảo vệ.

Google phát biểu “Nếu ứng dụng của bạn sử dụng chia sẻ lưu trữ, bạn nên mã hóa dữ liệu”. “Trong thư mục nhà của ứng dụng, nếu ứng dụng của bạn xử lý thông tin nhạy cảm và không giới hạn như thông tin nhận dạng cá nhân (PII – personally identifiable information), hồ sơ sức khỏe, chi tiết tài chính hoặc dữ liệu doanh nghiệp thì nó sẽ mã hóa dữ liệu.”

Google cũng khuyến nghị các nhà phát triển ứng dụng nên kết hợp mã hóa với thông tin sinh trắc học để tăng thêm tính bảo mật và quyền riêng tư.

Thư viện Jetpack Security được giới thiệu bản xem trước vào tháng 5 năm ngoái tại hội nghị nhà phát triển hàng năm. Đó là một phần của việc mở rộng Android Jetpack – một bộ sưu tập thành phần phần mềm Android giúp các nhà phát triển thực hiện các bước đi đúng đắn và thiết kế các ứng dụng chất lượng cao.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 189
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 134
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 263
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 253
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 287
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 149
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ