Kyberhyökkäykset ja tietovarkaudet ovat nykyään yleistyneet etenkin mobiilisovelluksissa. Tämän seurauksena tietoturvaloukkauksiin joutuvat mobiilisovellukset voivat kärsiä taloudellisia menetyksiä. Koska monet hakkerit yrittävät varastaa asiakastietoja, näiden sovellusten suojaamisesta on tullut organisaatioiden prioriteetti numero yksi ja kehittäjille vakava haaste. Gartnerin tuoreen tutkimuksen mukaan Hype Cycle sovellusten suojaukseen, investoinnit sovellusten tietoturvaan kasvavat yli kaksinkertaiseksi muutaman seuraavan vuoden aikana, tämän vuoden 6 miljardista dollarista 13.7 miljardiin dollariin vuoteen 2026 mennessä. Lisäksi raportissa todettiin: "Sovellusturvallisuus on nyt kehittäjien ja tietoturvan tärkein asia. ammattilaisille, ja nyt painopiste on julkisissa pilvissä isännöitävissä sovelluksissa”, DevOps-tietoturvan peruskomponenttien saaminen oikein on tärkeää. Tässä on 12 vinkkiä mobiilisovelluksesi suojaamiseen:
1. Asenna sovelluksia luotettavista lähteistä:
On yleistä, että Android-sovellukset julkaistaan uudelleen muilla markkinoilla tai niiden APK:t ja IPA:t asetetaan ladattavaksi. Sekä APK:ta että IPA:ta voidaan ladata ja asentaa useista paikoista, mukaan lukien verkkosivustot, pilvipalvelut, asemat, sosiaalinen media ja sosiaalinen verkostoituminen. Vain Play Kauppa ja App Store saa asentaa luotettavia APK- ja IPA-tiedostoja. Jotta voimme estää näiden sovellusten käytön, meillä pitäisi olla lähteen tarkistus (Play Store tai App Store) sovelluksen käynnistyksen yhteydessä.
2. Juuren tunnistus:
Android: Hyökkääjä voi käynnistää mobiilisovelluksen juurtuneella laitteella ja käyttää paikallista muistia tai kutsua tiettyjä toimintoja tai aikeita suorittaakseen haitallisia toimintoja sovelluksessa.
iOS: Jailbroken laitteen sovellukset toimivat root-oikeuksin iOS-hiekkalaatikon ulkopuolella. Tämä voi sallia sovellusten pääsyn muihin sovelluksiin tallennettuihin arkaluontoisiin tietoihin tai asentaa haittaohjelmia, jotka estävät hiekkalaatikkotoiminnon.
Lisää juuritunnistuksesta - https://owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. Tietojen tallennus:
Kehittäjät käyttävät Shared Preferences & User Defaults -asetuksia avainarvoparien, kuten tunnuksien, matkapuhelinnumeroiden, sähköpostin, boolean-arvojen jne. tallentamiseen. Lisäksi sovelluksia luodessaan kehittäjät suosivat SQLite-tietokantoja strukturoidulle tiedolle. On suositeltavaa tallentaa kaikki tiedot salatussa muodossa, jotta hakkereiden on vaikea poimia tietoja.
4. Suojatut salaiset avaimet:
API-avaimia, salasanoja ja tunnuksia ei saa koodata koodiin. On suositeltavaa käyttää erilaisia tekniikoita näiden arvojen tallentamiseen, jotta hakkerit eivät pääse nopeasti karkuun sovelluksen peukaloimalla.
Tässä viitelinkki: https://guides.codepath.com/android/Storing-Secret-Keys-in-Android
5. Koodin hämärtäminen
Hyökkääjä voi purkaa APK-tiedoston ja purkaa sovelluksen lähdekoodin. Tämä voi paljastaa sovelluksen lähdekoodiin tallennettuja arkaluonteisia tietoja hyökkääjälle, jota voidaan käyttää räätälöityjen hyökkäysten tekemiseen.
On parempi hämärtää lähdekoodi, jotta kaikki lähdekoodin sisältämät arkaluontoiset tiedot estetään.
6. Suojattu viestintä:
Hyökkääjä voi suorittaa haitallisia toimia hyödyntääkseen hyökkäysten määrää, koska kaikki viestintä tapahtuu salaamattomia kanavia pitkin. Käytä siis aina HTTPS-URL-osoitteita HTTP-URL-osoitteiden sijaan.
7. SSL-kiinnitys:
Varmenteen kiinnityksen avulla mobiilisovellukset voivat rajoittaa viestinnän vain palvelimiin, joilla on odotettua arvoa (pin) vastaava voimassa oleva varmenne. Kiinnitys varmistaa sen verkon tiedot eivät vaarannu, vaikka käyttäjä huijattaisiin asentamaan haitallinen juurivarmenne mobiililaitteeseensa. Kaikki sovellukset, jotka kiinnittävät varmenteensa, estävät tällaiset tietojenkalasteluyritykset kieltäytymällä lähettämästä tietoja vaarantuneen yhteyden kautta
Katso:
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. Suojattu API-pyyntö- ja vastaustiedot
Vakiokäytäntö on käyttää HTTPS:ää REST API -kutsujen perussuojaukseen. Palvelimelle lähetetyt tai palvelimelta vastaanotetut tiedot voidaan edelleen salata AES:llä jne. Jos esimerkiksi sisältää arkaluontoista sisältöä, voit valita ne salattavaksi, jotta vaikka HTTPS olisi jotenkin rikki tai määritetty väärin, sinulla on toinen suojataso salauksellesi.
9. Suojattu mobiilisovellustodennus:
Jos sovellus ei määritä erillisiä ja monimutkaisia istuntotunnuksia käyttäjälle kirjautumisen jälkeen, hyökkääjä voi suorittaa tietojenkalastelua houkutellakseen uhrin käyttämään hyökkääjän toimittamaa räätälöityä tunnistetta ja ohittamaan kirjautumissivun helposti kaapatun istunnon avulla. käyttämällä MiTM-hyökkäystä.
i) Määritä käyttäjälle erillinen ja monimutkainen istuntotunnus joka kerta, kun hän kirjautuu onnistuneesti sovellukseen.
ii) Lopeta istunnon käyttöaika välittömästi uloskirjautumisen jälkeen.
iii) Älä käytä samaa istuntotunnusta kahdelle tai useammalle IP-osoitteelle.
iv) Rajoita jokaisen istuntotunnuksen vanhenemisaikaa.
10. Salli varmuuskopiointi
Estä käyttäjiä varmuuskopioimasta sovellusta, jos se sisältää arkaluonteisia tietoja. Kun sinulla on pääsy varmuuskopiotiedostoihin (eli kun android:allowBackup=”true”), on mahdollista muokata/lukea sovelluksen sisältöä jopa juurtumattomalla laitteella. Joten on suositeltavaa tehdä salli varmuuskopiointi false.
11. Rajoita pääsyä Android-sovellusnäyttöihin muista sovelluksista
Ihannetapauksessa toimintojesi ei pitäisi antaa mitään mahdollisuutta avautua muista palveluista tai sovelluksista. Tee siitä totta vain, kun sinulla on erityinen vaatimus käyttää lepatusnäyttöjäsi muista sovelluksista, muutoin muuttuvat muotoon android:exported= ”false”
12. Rajoita pakettien asentamista Android-sovelluksesta
REQUEST_INSTALL_PACKAGES lupa antaa sovelluksille mahdollisuuden asentaa uusia paketteja käyttäjän laitteelle. Olemme sitoutuneet estämään väärinkäyttöä Android-alustalla ja suojelemaan käyttäjiä sovelluksilta, jotka päivittyvät itse millä tahansa muulla menetelmällä kuin Google Playn päivitysmekanismilla tai lataavat haitallisia APK:ita.
Johtopäätös:
Mobiilisovellukset ovat tulleet personoidummiksi kuin koskaan ennen, ja niihin tallennetaan päivittäin kasoja asiakkaiden henkilökohtaisia tietoja. Käyttäjien luottamuksen ja lojaalisuuden rakentamiseksi ja yritysten merkittävien taloudellisten ja tunnistetietojen menetyksen estämiseksi on nyt tärkeää varmistaa, että sovellus on turvallinen käyttäjälle. Yllä mainittujen mobiilisovellusten turvatarkistuslistojen noudattaminen auttaa varmasti estämään hakkereita hakkeroimasta sovellusta.
Author:
Raviteja Aketi on vanhempi ohjelmistosuunnittelija Mantra Labsissa. Hänellä on laaja kokemus B2B-projekteista. Raviteja rakastaa uusien teknologioiden tutkimista, elokuvien katselua ja aikaa perheen ja ystävien kanssa.
Lue uusin blogimme: Puhtaan arkkitehtuurin käyttöönotto Nest.JS:llä
Tieto, joka on syytä toimittaa postilaatikkoosi
- AI
- ai taide
- ai taiteen generaattori
- ai robotti
- android
- Application Development
- tekoäly
- tekoälyn sertifiointi
- tekoäly pankkitoiminnassa
- tekoäly robotti
- tekoälyrobotit
- tekoälyohjelmisto
- blockchain
- blockchain-konferenssi ai
- coingenius
- keskustelullinen tekoäly
- kryptokonferenssi ai
- dall's
- syvä oppiminen
- Kehittäjä Ops
- google ai
- iOS
- koneoppiminen
- Mantra Labs
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- mittakaava ai
- syntaksi
- zephyrnet
