Google khuyên lập trình viên Android mã hóa dữ liệu ứng dụng trên thiết bị

Google mới đây đã đăng một bài viết trên blog khuyến nghị các nhà phát triển ứng dụng di động mã hóa dữ liệu phát sinh khi app chạy, nhất là khi người dùng sử dụng bộ nhớ ngoài không được bảo vệ, dễ bị tấn công.



Vì số lượng frameworks liên quan và có sẵn không nhiều, Google khuyên bạn nên sử dụng thư viện bảo mật dễ dùng có sẵn như là một phần của bộ phần mềm Jetpack (Jetpack – một tập hợp plugin được Automattic phát triển cho nền tảng WordPress.com).



Thư viện Jetpack Security (còn gọi là JetSec) có nguồn mở cho phép các nhà phát triển ứng dụng Android dễ dàng đọc và ghi các tệp được mã hóa với các bước bảo mật tốt như: lưu trữ khóa mật mã và bảo vệ các tệp (có thể chứa dữ liệu nhạy cảm), khóa API, mã thông báo OAuth.



Android gợi ý hai cách khác nhau để các nhà phát triển lưu dữ liệu ứng dụng. Cách thứ nhất là dùng bộ nhớ dành riêng cho ứng dụng (bộ nhớ trong). Lưu trữ tệp trong thư mục sandbox ở một ứng dụng, không cho truy cập vào các ứng dụng khác của thiết bị.



Cách thứ hai là chia sẻ lưu trữ (lưu trữ ngoài). Lưu trữ ngoài sandbox, thường được sử dụng để lưu trữ các tệp tài liệu và phương tiện.



Tuy nhiên, phần lớn các ứng dụng sử dụng bộ nhớ ngoài để lưu trữ dữ liệu nhạy cảm và riêng tư sử dụng thiết bị lưu trữ và không có các biện pháp thích hợp để bảo vệ khỏi các ứng dụng khác. Điều này cho phép kẻ tấn công ăn cắp ảnh, video và giả mạo các tệp (Media File Jacking).



Hai năm trước có cuộc tấn công với cách thức tương tự là “ man-in-the-disk ”. Kẻ tấn công có thể gây hại cho một ứng dụng bằng cách điều khiển một số dữ liệu được trao đổi giữa nó và bộ nhớ ngoài.



Một nghiên cứu khác đã chứng minh cuộc tấn công kênh bên (side-channel attack). Những kẻ tấn công có thể bí mật chụp ảnh và quay video dù không có quyền chỉ bằng cách lợi dụng quyền truy cập vào bộ nhớ ngoài của thiết bị.



Để ngăn chặn các cuộc tấn công như vậy, Android 10 cũng có một tính năng gọi là ‘Bộ lưu trữ giới hạn’. Tính năng này sẽ phân tách dữ liệu của từng ứng dụng trong bộ nhớ ngoài, hạn chế việc lén truy cập dữ liệu của các ứng dụng khác trên thiết bị. Thư viện JetSec còn có thêm giải pháp dễ sử dụng để mã hóa dữ liệu, tăng mức độ bảo vệ.



Google phát biểu “Nếu ứng dụng của bạn sử dụng chia sẻ lưu trữ, bạn nên mã hóa dữ liệu”. “Trong thư mục nhà của ứng dụng,  nếu ứng dụng của bạn xử lý thông tin nhạy cảm và không giới hạn như thông tin nhận dạng cá nhân (PII – personally identifiable information), hồ sơ sức khỏe, chi tiết tài chính hoặc dữ liệu doanh nghiệp thì nó sẽ mã hóa dữ liệu.”



Google cũng khuyến nghị các nhà phát triển ứng dụng nên kết hợp mã hóa với thông tin sinh trắc học để tăng thêm tính bảo mật và quyền riêng tư.



Thư viện Jetpack Security được giới thiệu bản xem trước vào tháng 5 năm ngoái tại hội nghị nhà phát triển hàng năm. Đó là một phần của việc mở rộng Android Jetpack – một bộ sưu tập thành phần phần mềm Android giúp các nhà phát triển thực hiện các bước đi đúng đắn và thiết kế các ứng dụng chất lượng cao.



Quỳnh Thảo, theo TheHackerNews
The post Google khuyên lập trình viên Android mã hóa dữ liệu ứng dụng trên thiết bị appeared first on SecurityDaily .