Post #9750

🤖Новые способы защиты в Android 16 от malware, которое злоупотребляет Accessibility В Android уже давно существует системная проблема - вредоносные приложения используют Accessibility API не для доступности, а для атак: скрытое считывание текста с экрана, автоматические клики по кнопкам без ведома пользователя, подмена пользовательских действий и обход бизнес-логики и другие. В Android 16 добавили возможность запрещать доступ к элементам UI в приложениях accessibilityDataSensitive - новый флаг позволяет явно пометить UI-элемент как содержащий чувствительные данные. Accessibility-сервисы не могут читать или взаимодействовать с этим элементом, за исключением — легитимные сервисы доступности (screen readers и т.п.), filterTouchesWhenObscured (был до Android 16) - когда у View (или окна) включён filterTouchesWhenObscured = true, то система игнорирует touch события, если в момент касания поверх окна есть другое приложение. Так делают злоумышленники для перехвата касаний, показывая прозрачный overlay Использовать нужно на: 👉 экранах логина, 👉 платежных формах, 👉 экранах с персональными и финансовыми данными. // Защита от tapjacking val composeView = LocalView.current DisposableEffect(Unit) { composeView.filterTouchesWhenObscured = true onDispose { composeView.filterTouchesWhenObscured = false } } // Защита чувствительных данных BasicText( text = "Password", modifier = Modifier.semantics { sensitiveData = true } ) <TextView android:filterTouchesWhenObscured="true" /> <TextView android:accessibilityDataSensitive="true" /> // Через код view.filterTouchesWhenObscured = true view.isAccessibilityDataSensitive = true Новые возможности на заменяет FLAG_SECURE, а дополняет его #Android#Android16#Безопасность#AndroidDev