Khuyến cáo từ Google: Nhà phát triển Android hãy mã hóa dữ liệu ứng dụng trên thiết bị

www.tuoitre.vn -   02/03/2020 12:00:00 1153

Google mới đây đã đăng một bài viết trên blog khuyến nghị các nhà phát triển ứng dụng di động mã hóa dữ liệu phát sinh khi app chạy, nhất là khi người dùng sử dụng bộ nhớ ngoài không được bảo vệ, dễ bị tấn công.

Vì số lượng frameworks liên quan và có sẵn không nhiều, Google khuyên bạn nên sử dụng thư viện bảo mật dễ dùng có sẵn như là một phần của bộ phần mềm Jetpack (Jetpack – một tập hợp plugin được Automattic phát triển cho nền tảng WordPress.com).

Nhà phát triển Android hãy mã hóa dữ liệu ứng dụng trên thiết bị

Thư viện Jetpack Security (còn gọi là JetSec) có nguồn mở cho phép các nhà phát triển ứng dụng Android dễ dàng đọc và ghi các tệp được mã hóa với các bước bảo mật tốt như: lưu trữ khóa mật mã và bảo vệ các tệp (có thể chứa dữ liệu nhạy cảm), khóa API, mã thông báo OAuth.

Android gợi ý hai cách khác nhau để các nhà phát triển lưu dữ liệu ứng dụng. Cách thứ nhất là dùng bộ nhớ dành riêng cho ứng dụng (bộ nhớ trong). Lưu trữ tệp trong thư mục sandbox ở một ứng dụng, không cho truy cập vào các ứng dụng khác của thiết bị.

Cách thứ hai là chia sẻ lưu trữ (lưu trữ ngoài). Lưu trữ ngoài sandbox, thường được sử dụng để lưu trữ các tệp tài liệu và phương tiện.

Tuy nhiên, phần lớn các ứng dụng sử dụng bộ nhớ ngoài để lưu trữ dữ liệu nhạy cảm và riêng tư sử dụng thiết bị lưu trữ và không có các biện pháp thích hợp để bảo vệ khỏi các ứng dụng khác. Điều này cho phép kẻ tấn công ăn cắp ảnh, video và giả mạo các tệp (Media File Jacking).

Hai năm trước có cuộc tấn công với cách thức tương tự là “man-in-the-disk”. Kẻ tấn công có thể gây hại cho một ứng dụng bằng cách điều khiển một số dữ liệu được trao đổi giữa nó và bộ nhớ ngoài.

Một nghiên cứu khác đã chứng minh cuộc tấn công kênh bên (side-channel attack). Những kẻ tấn công có thể bí mật chụp ảnh và quay video dù không có quyền chỉ bằng cách lợi dụng quyền truy cập vào bộ nhớ ngoài của thiết bị.

Để ngăn chặn các cuộc tấn công như vậy, Android 10 cũng có một tính năng gọi là ‘Bộ lưu trữ giới hạn’. Tính năng này sẽ phân tách dữ liệu của từng ứng dụng trong bộ nhớ ngoài, hạn chế việc lén truy cập dữ liệu của các ứng dụng khác trên thiết bị. Thư viện JetSec còn có thêm giải pháp dễ sử dụng để mã hóa dữ liệu, tăng mức độ bảo vệ.

Google phát biểu “Nếu ứng dụng của bạn sử dụng chia sẻ lưu trữ, bạn nên mã hóa dữ liệu”. “Trong thư mục nhà của ứng dụng, nếu ứng dụng của bạn xử lý thông tin nhạy cảm và không giới hạn như thông tin nhận dạng cá nhân (PII – personally identifiable information), hồ sơ sức khỏe, chi tiết tài chính hoặc dữ liệu doanh nghiệp thì nó sẽ mã hóa dữ liệu.”

Google cũng khuyến nghị các nhà phát triển ứng dụng nên kết hợp mã hóa với thông tin sinh trắc học để tăng thêm tính bảo mật và quyền riêng tư.

Thư viện Jetpack Security được giới thiệu bản xem trước vào tháng 5 năm ngoái tại hội nghị nhà phát triển hàng năm. Đó là một phần của việc mở rộng Android Jetpack – một bộ sưu tập thành phần phần mềm Android giúp các nhà phát triển thực hiện các bước đi đúng đắn và thiết kế các ứng dụng chất lượng cao.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 7
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 9
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 14
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 56
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 4
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 59
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ