Google рекомендовала разработчикам приложений шифровать данные
Компания Google призвала разработчиков мобильных приложений к внедрению шифрования для всех данных, генерируемых их приложениями на устройствах пользователей, в особенности, если они используют уязвимые к взломам внешние хранилища. Учитывая, что справочная база для этого не столь велика, Google рекомендовала использовать простую в реализации библиотеку безопасности, входящую в ее пакет программного обеспечения Jetpack.
Библиотека с октрытом исходным кодом Jetpack Security (JetSec) позволяет разработчикам Android-приложений с легкостью читать и записывать зашифрованные файлы, следуя лучшим практикам безопасности, включая хранение криптографических ключей и защиту файлов, содержащих конфиденциальные данные, ключи API и токены OAuth.
ОС Android предлагает разработчикам два способа хранения генерируемых приложениями данных. Первый способ - использовать внутреннее хранилище, где файлы хранятся в изолированной папке, предназначенной для использования определенным приложением и недоступной для других приложений на том же устройстве. Второй способ - хранить данные во внешнем хранилище, находящемся за пределами песочницы и часто использующемся для хранения медиафайлов и документов.
Большинство приложений используют для хранения конфиденциальных данных пользователей внешние хранилища, незащищенные от доступа к ним других приложений. Это дает возможность хакерам похищать чувствительную информацию, включая фото и видео, и модифицировать файлы.
Для предотвращения возможных атак в Android 10 появилась функция Scoped Storage, защищающая данные каждого приложения во внешних хранилищах с помощью песочницы. JetSec идет еще дальше и добавляет дополнительный уровень защиты - шифрование. Google также рекомендовала разработчикам комбинировать шифрование с биометрической информацией для большей безопасности.