Küberrünnakud ja andmete vargused on tänapäeval muutunud nii tavaliseks, eriti mis puudutab mobiilirakendusi. Selle tulemusena võivad turvarikkumistega mobiilirakendused saada rahalist kahju. Kuna paljud häkkerid püüavad varastada klientide andmeid, on nende rakenduste turvalisusest saanud organisatsioonide prioriteet number üks ja arendajatele tõsine väljakutse. Gartneri hiljutiste uuringute kohaselt Hype Cycle rakenduse turvalisuse jaoks, suurenevad investeeringud rakenduste turbesse järgmise paari aasta jooksul enam kui kaks korda, 6 miljardilt dollarilt sel aastal 13.7 miljardile dollarile 2026. aastaks. Lisaks märgiti aruandes: "Rakenduste turvalisus on praegu arendajate ja turvalisuse jaoks esmatähtis. professionaalidele ja rõhk on nüüd pööratud avalikes pilvedes hostitavatele rakendustele.“ DevOpsi turvalisuse põhikomponendid on üliolulised. Siin on 12 näpunäidet oma mobiilirakenduse kaitsmiseks:
1. Installige rakendusi usaldusväärsetest allikatest.
Androidi rakendused avaldatakse alternatiivsetel turgudel uuesti või nende APK-d ja IPA-d tehakse allalaadimiseks kättesaadavaks. Nii APK-d kui ka IPA-d saab alla laadida ja installida erinevatest kohtadest, sealhulgas veebisaitidelt, pilveteenustest, draividest, sotsiaalmeediast ja suhtlusvõrgustikest. Usaldusväärseid APK- ja IPA-faile peaks installima ainult Play Store ja App Store. Nende rakenduste kasutamise vältimiseks peaksime rakenduse käivitamisel tuvastama allika kontrolli (Play Store või App Store).
2. Juure tuvastamine:
Android: ründaja võib juurdunud seadmes käivitada mobiilirakenduse ja pääseda juurde kohalikule mälule või helistada konkreetsetele tegevustele või kavatsustele, et teha rakenduses pahatahtlikke tegevusi.
iOS: jailpurgitud seadmes töötavad rakendused väljaspool iOS-i liivakasti (root). See võib lubada rakendustel pääseda juurde teistesse rakendustesse salvestatud tundlikele andmetele või installida pahatahtlikku tarkvara, mis eitab liivakasti funktsiooni.
Lisateave juurte tuvastamise kohta - https://owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. Andmete salvestamine:
Arendajad kasutavad jagatud eelistusi ja kasutaja vaikeseadeid võtme-väärtuste paaride (nt märgid, mobiilinumbrid, meilid, tõeväärtused jne) salvestamiseks. Lisaks eelistavad arendajad rakenduste loomisel struktureeritud andmete jaoks SQLite'i andmebaase. Soovitatav on salvestada kõik andmed krüpteeritud vormingus, et häkkeritel oleks raske teavet hankida.
4. Turvalised salavõtmed:
API-võtmeid, paroole ja märke ei tohiks koodi sisse kodeerida. Nende väärtuste salvestamiseks on soovitatav kasutada erinevaid tehnikaid, et häkkerid ei saaks rakendust rikkudes kiiresti pääseda.
Siin on viitelink: https://guides.codepath.com/android/Storing-Secret-Keys-in-Android
5. Koodi hägustamine
Ründaja võib APK-faili dekompileerida ja rakenduse lähtekoodi ekstraktida. See võib avaldada ründajale rakenduse lähtekoodi salvestatud tundliku teabe, mida võidakse kasutada kohandatud rünnakute sooritamiseks.
Parem on lähtekood hägustada, et vältida kogu lähtekoodis sisalduvat tundlikku teavet.
6. Turvaline side:
Ründaja võib rünnete taseme suurendamiseks sooritada pahatahtlikke tegevusi, kuna kogu suhtlus toimub krüptimata kanalite kaudu. Seega kasutage alati HTTPS-i URL-e HTTP-URL-ide asemel.
7. SSL-i kinnitamine:
Sertifikaadi kinnitamine võimaldab mobiilirakendustel piirata sidet ainult serveritega, mille kehtiv sertifikaat vastab eeldatavale väärtusele (pin). Kinnitamine tagab selle võrguandmeid ei ohustata isegi siis, kui kasutajat meelitatakse installima oma mobiilseadmesse pahatahtlikku juursertifikaati. Kõik rakendused, mis kinnitavad oma sertifikaate, takistavad selliseid andmepüügikatseid, keeldudes edastamast andmeid kahjustatud ühenduse kaudu
Palun viita:
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. Turvaline API päringu- ja vastuseandmed
Tavapraktika on HTTPS-i kasutamine REST API kõnede baaskaitseks. Serverisse saadetud või serverist saadud teavet võidakse täiendavalt krüpteerida AES-iga jne. Näiteks kui on tundlikku sisu, võite valida selle krüpteerimiseks, nii et isegi kui HTTPS on kuidagi katki või valesti konfigureeritud, teil on teie krüptimise eest veel üks kaitsekiht.
9. Turvaline mobiilirakenduse autentimine:
Kui rakendus ei määra pärast kasutajale sisselogimist eristatavaid ja keerulisi seansimärke, võib ründaja korraldada andmepüügi, et meelitada ohver kasutama ründaja pakutud kohandatud žetoone ja jäädvustatud seansiga sisselogimislehest hõlpsalt mööda minna. kasutades MiTM rünnakut.
i) Määrake kasutajale eraldiseisev ja keerukas seansimärk iga kord, kui ta edukalt rakendusse sisse logib.
ii) Lõpetage seansi eluiga kohe pärast väljalogimist.
iii) Ärge kasutage sama seansimärki kahe või enama IP-aadressi jaoks.
iv) Piirake iga seansi märgi aegumisaega.
10. Luba varundamine
Keelake kasutajatel rakendusest varundada, kui see sisaldab tundlikke andmeid. Kui teil on juurdepääs varufailidele (st kui android:allowBackup=”true”), on võimalik rakenduse sisu muuta/lugeda isegi mittejuurdunud seadmes. Seetõttu on soovitatav varundamise lubamine valeks muuta.
11. Piirake juurdepääsu Androidi rakenduste ekraanidele teistest rakendustest
Ideaalis ei tohiks teie tegevused võimaldada avanemist muudest teenustest või rakendustest. Muutke see tõeks ainult siis, kui teil on konkreetne nõue pääseda teistest rakendustest oma värelemisekraanidele juurde android:exported= ”false”
12. Piirake pakettide installimist Androidi rakendusest
REQUEST_INSTALL_PACKAGES luba lubab rakendustel installige kasutaja seadmesse uued paketid. Oleme pühendunud Androidi platvormi kuritarvitamise ärahoidmisele ja kasutajate kaitsmisele rakenduste eest, mis värskendavad ennast mis tahes muul viisil peale Google Play värskendusmehhanismi või laadivad alla kahjulikke APK-sid.
Järeldus:
Mobiilirakendused on muutunud isikupärasemaks kui kunagi varem, kuna neisse salvestatakse iga päev hunnikuid klientide isikuandmeid. Kasutajate usalduse ja lojaalsuse suurendamiseks ning ettevõtete märkimisväärse rahalise ja mandaadikaotuse vältimiseks on nüüd ülioluline tagada, et rakendus oleks kasutaja jaoks turvaline. Eelpool mainitud mobiilirakenduse turvalisuse kontrollnimekirjade järgimine aitab kindlasti vältida häkkerite äppi häkkimist.
Teave Autor:
Raviteja Aketi on Mantra Labsi vanemtarkvarainsener. Tal on laialdased kogemused B2B projektidega. Raviteja armastab uurida uusi tehnoloogiaid, vaadata filme ning veeta aega pere ja sõpradega.
Loe meie viimast blogi: Puhta arhitektuuri rakendamine Nest.JS-iga
Teadmised, mis on väärt teie postkasti edastamist
- AI
- ai kunst
- ai kunsti generaator
- on robot
- tehisintellekti
- tehisintellekti sertifikaat
- tehisintellekt panganduses
- tehisintellekti robot
- tehisintellekti robotid
- tehisintellekti tarkvara
- blockchain
- plokiahela konverents ai
- kognitiivne psühholoogia
- coingenius
- vestluslik tehisintellekt
- krüptokonverents ai
- dall's
- sügav õpe
- Disain
- google ai
- masinõpe
- Mantra laborid
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- skaala ai
- süntaks
- User Experience
- sephyrnet
