Рaзрaбoтчикaм слeдуeт шифрoвaть гeнeрируeмыe прилoжeниями дaнныe, oсoбeннo eсли oни испoльзуют внeшниe xрaнилищa.

Кoмпaния Google призвaлa рaзрaбoтчикoв мoбильныx прилoжeний к внeдрeнию шифрoвaния для всex дaнныx, гeнeрируeмыx их приложениями на устройствах пользователей, в особенности, если они используют уязвимые к взломам внешние хранилища. Учитывая, что справочная база для этого не столь велика, Google рекомендовала использовать простую в реализации библиотеку безопасности, входящую в ее пакет программного обеспечения Jetpack.

Библиотека с октрытом исходным кодом Jetpack Security (JetSec) позволяет разработчикам Android-приложений с легкостью читать и записывать зашифрованные файлы, следуя лучшим практикам безопасности, включая хранение криптографических ключей и защиту файлов, содержащих конфиденциальные данные, ключи API и токены OAuth.

ОС Android предлагает разработчикам два способа хранения генерируемых приложениями данных. Первый способ – использовать внутреннее хранилище, где файлы хранятся в изолированной папке, предназначенной для использования определенным приложением и недоступной для других приложений на том же устройстве. Второй способ – хранить данные во внешнем хранилище, находящемся за пределами песочницы и часто использующемся для хранения медиафайлов и документов.

Большинство приложений используют для хранения конфиденциальных данных пользователей внешние хранилища, незащищенные от доступа к ним других приложений. Это дает возможность хакерам похищать чувствительную информацию, включая фото и видео, и модифицировать файлы.

Для предотвращения возможных атак в Android 10 появилась функция Scoped Storage, защищающая данные каждого приложения во внешних хранилищах с помощью песочницы. JetSec идет еще дальше и добавляет дополнительный уровень защиты – шифрование. Google также рекомендовала разработчикам комбинировать шифрование с биометрической информацией для большей безопасности.

Источник