साइबर हमले और डेटा चोरी इन दिनों बहुत आम हो गए हैं, खासकर जब मोबाइल एप्लिकेशन की बात आती है। परिणामस्वरूप, सुरक्षा उल्लंघनों का अनुभव करने वाले मोबाइल ऐप्स को वित्तीय नुकसान हो सकता है। कई हैकर्स ग्राहकों का डेटा चुराने पर नज़र गड़ाए हुए हैं, इन एप्लिकेशन को सुरक्षित करना संगठनों के लिए नंबर एक प्राथमिकता बन गया है और डेवलपर्स के लिए एक गंभीर चुनौती बन गया है। गार्टनर के हालिया शोध के अनुसार, अनुप्रयोग सुरक्षा के लिए प्रचार चक्र, एप्लिकेशन सुरक्षा में निवेश अगले कुछ वर्षों में दो गुना से अधिक बढ़ जाएगा, इस वर्ष $ 6 बिलियन से 13.7 तक $ 2026 बिलियन हो जाएगा। इसके अलावा, रिपोर्ट में कहा गया है, "एप्लिकेशन सुरक्षा अब डेवलपर्स और सुरक्षा के लिए सबसे ऊपर है। पेशेवरों, और अब सार्वजनिक क्लाउड में होस्ट किए गए ऐप्स पर जोर दिया जा रहा है," DevOps सुरक्षा के मूलभूत घटकों को सही करना महत्वपूर्ण है। आपके मोबाइल एप्लिकेशन को सुरक्षित करने के लिए यहां 12 युक्तियां दी गई हैं:
1. विश्वसनीय स्रोतों से ऐप्स इंस्टॉल करें:
वैकल्पिक बाज़ारों पर Android एप्लिकेशन का पुनर्प्रकाशित होना या उनके APK और IPA को डाउनलोड के लिए उपलब्ध कराना आम बात है। एपीके और आईपीए दोनों को विभिन्न स्थानों से डाउनलोड और इंस्टॉल किया जा सकता है, जिसमें वेबसाइट, क्लाउड सेवाएं, ड्राइव, सोशल मीडिया और सोशल नेटवर्किंग शामिल हैं। केवल Play Store और ऐप स्टोर को ही भरोसेमंद एपीके और आईपीए फाइलों को स्थापित करने की अनुमति दी जानी चाहिए। इन ऐप्स के उपयोग को रोकने के लिए, ऐप शुरू होने पर हमारे पास सोर्स चेक डिटेक्शन (प्ले स्टोर या ऐप स्टोर) होना चाहिए।
2. जड़ का पता लगाना:
एंड्रॉइड: एक हमलावर रूट किए गए डिवाइस पर एक मोबाइल एप्लिकेशन लॉन्च कर सकता है और स्थानीय मेमोरी तक पहुंच सकता है या एप्लिकेशन में दुर्भावनापूर्ण गतिविधियों को करने के लिए विशिष्ट गतिविधियों या इरादों को कॉल कर सकता है।
आईओएस: जेलब्रेक डिवाइस पर एप्लिकेशन आईओएस सैंडबॉक्स के बाहर रूट के रूप में चलते हैं। यह एप्लिकेशन को अन्य ऐप्स में संग्रहीत संवेदनशील डेटा तक पहुंचने या सैंडबॉक्सिंग कार्यक्षमता को अस्वीकार करने वाले दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करने की अनुमति दे सकता है।
रूट डिटेक्शन पर अधिक- https://owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. डेटा संग्रहण:
टोकन, मोबाइल नंबर, ईमेल, बूलियन मान आदि जैसे कुंजी-मूल्य जोड़े को संग्रहीत करने के लिए डेवलपर्स साझा प्राथमिकताएं और उपयोगकर्ता डिफ़ॉल्ट का उपयोग करते हैं। इसके अतिरिक्त, एप्लिकेशन बनाते समय, डेवलपर्स संरचित डेटा के लिए SQLite डेटाबेस पसंद करते हैं। किसी भी डेटा को एन्क्रिप्शन के प्रारूप में संग्रहीत करने की अनुशंसा की जाती है ताकि हैकर्स द्वारा जानकारी निकालना मुश्किल हो।
4. सुरक्षित गुप्त कुंजी:
कोड में API कुंजियां, पासवर्ड और टोकन हार्डकोड नहीं किए जाने चाहिए। इन मूल्यों को संग्रहीत करने के लिए विभिन्न तकनीकों का उपयोग करने की सिफारिश की जाती है ताकि हैकर्स एप्लिकेशन के साथ छेड़छाड़ करके जल्दी से भाग न सकें।
यहाँ एक संदर्भ लिंक है: https://guides.codepath.com/android/Storing-Secret-Keys-in-Android
5. कोड अस्पष्टता
एक हमलावर एपीके फ़ाइल को विघटित कर सकता है और एप्लिकेशन का स्रोत कोड निकाल सकता है। यह एप्लिकेशन के स्रोत कोड में संग्रहीत संवेदनशील जानकारी को हमलावर के सामने प्रकट कर सकता है जिसका उपयोग अनुरूप हमलों को करने के लिए किया जा सकता है।
स्रोत कोड में निहित सभी संवेदनशील जानकारी को रोकने के लिए स्रोत कोड को अस्पष्ट करना बेहतर है।
6. सुरक्षित संचार:
एक हमलावर हमलों के स्तर का लाभ उठाने के लिए दुर्भावनापूर्ण गतिविधियां कर सकता है क्योंकि सभी संचार अनएन्क्रिप्टेड चैनलों पर हो रहे हैं। इसलिए हमेशा एचटीटीपी यूआरएल पर एचटीटीपीएस यूआरएल का इस्तेमाल करें।
7. एसएसएल पिनिंग:
सर्टिफिकेट पिनिंग मोबाइल एप्लिकेशन को केवल उन सर्वरों तक संचार को प्रतिबंधित करने की अनुमति देता है जिनके पास अपेक्षित मूल्य (पिन) से मेल खाने वाला वैध प्रमाणपत्र है। पिन करना सुनिश्चित करता है कि किसी भी नेटवर्क डेटा से समझौता नहीं किया जाता है, भले ही उपयोगकर्ता को उनके मोबाइल डिवाइस पर दुर्भावनापूर्ण रूट प्रमाणपत्र स्थापित करने के लिए धोखा दिया गया हो। कोई भी ऐप जो अपने प्रमाणपत्रों को पिन करता है, एक समझौता किए गए कनेक्शन पर डेटा संचारित करने से इनकार करके ऐसे फ़िशिंग प्रयासों को विफल कर देगा
कृपया संदर्भ:
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. सुरक्षित एपीआई अनुरोध और प्रतिक्रिया डेटा
मानक अभ्यास REST API कॉल की आधारभूत सुरक्षा के लिए HTTPS का उपयोग करना है। सर्वर को भेजी गई या सर्वर से प्राप्त जानकारी को आगे एईएस आदि के साथ एन्क्रिप्ट किया जा सकता है। उदाहरण के लिए, यदि संवेदनशील सामग्री हैं, तो आप उन्हें एन्क्रिप्ट करने के लिए चुन सकते हैं ताकि भले ही एचटीटीपीएस किसी भी तरह से टूटा या गलत कॉन्फ़िगर किया गया हो, आप आपके एन्क्रिप्शन से सुरक्षा की एक और परत है।
9. सुरक्षित मोबाइल ऐप प्रमाणीकरण:
यदि कोई एप्लिकेशन किसी उपयोगकर्ता को लॉगिन करने के बाद विशिष्ट और जटिल सत्र टोकन निर्दिष्ट नहीं करता है, तो एक हमलावर फ़िशिंग का संचालन कर सकता है ताकि पीड़ित को हमलावर द्वारा प्रदान किए गए कस्टम-जनरेटेड टोकन का उपयोग करने के लिए लुभाया जा सके और आसानी से कैप्चर किए गए सत्र के साथ लॉगिन पृष्ठ को बायपास कर सके। एक एमआईटीएम हमले का उपयोग करके।
i) उपयोगकर्ता द्वारा हर बार सफलतापूर्वक लॉग ऑन करने पर एक विशिष्ट और जटिल सत्र टोकन असाइन करें।
ii) लॉग आउट करने के तुरंत बाद सत्र का जीवनकाल समाप्त कर दें।
iii) दो या अधिक IP पतों के लिए एक ही सत्र टोकन का उपयोग न करें।
iv) प्रत्येक सत्र टोकन के लिए समाप्ति समय सीमित करें।
10. बैकअप की अनुमति दें
उपयोगकर्ताओं को किसी ऐप का बैकअप लेने की अनुमति न दें यदि उसमें संवेदनशील डेटा है। बैकअप फ़ाइलों तक पहुंच (यानी जब android:allowBackup="true"), गैर-रूट किए गए डिवाइस पर भी किसी ऐप की सामग्री को संशोधित/पढ़ना संभव है। इसलिए अनुमति बैकअप को गलत बनाने की अनुशंसा की जाती है।
11. अन्य ऐप्स से एंड्रॉइड एप्लिकेशन स्क्रीन तक पहुंच प्रतिबंधित करें
आदर्श रूप से, आपकी गतिविधियों को अन्य सेवाओं या अनुप्रयोगों से उद्घाटन के लिए कोई प्रावधान नहीं देना चाहिए। इसे तभी सही करें जब आपके पास अन्य ऐप्स से अपनी स्पंदन स्क्रीन तक पहुंचने की विशिष्ट आवश्यकता हो, अन्यथा इसे बदल दें एंड्रॉयड: निर्यात = "झूठा"
12. एंड्रॉइड एप्लिकेशन से पैकेज स्थापित करना प्रतिबंधित करें
REQUEST_INSTALL_PACKAGES अनुमति ऐप्स को अनुमति देती है उपयोगकर्ता के डिवाइस पर नए पैकेज स्थापित करें. हम एंड्रॉइड प्लेटफॉर्म पर दुरुपयोग को रोकने और उपयोगकर्ताओं को उन ऐप्स से बचाने के लिए प्रतिबद्ध हैं जो Google Play के अपडेट तंत्र के अलावा किसी अन्य विधि का उपयोग करके स्वयं-अपडेट करते हैं या हानिकारक एपीके डाउनलोड करते हैं।
निष्कर्ष:
मोबाइल ऐप्स पहले से कहीं अधिक वैयक्तिकृत हो गए हैं, जिसमें ग्राहकों के व्यक्तिगत डेटा का ढेर प्रतिदिन संग्रहीत होता है। उपयोगकर्ताओं के बीच विश्वास और वफादारी बनाने और कंपनियों के लिए महत्वपूर्ण वित्तीय और क्रेडेंशियल नुकसान को रोकने के लिए, अब यह सुनिश्चित करना महत्वपूर्ण है कि एप्लिकेशन उपयोगकर्ता के लिए सुरक्षित है। उपर्युक्त मोबाइल ऐप सुरक्षा चेकलिस्ट का पालन करने से निश्चित रूप से हैकर्स को ऐप को हैक करने से रोकने में मदद मिलेगी।
के बारे में लेखक:
रवीतेजा अकेती, मंत्रा लैब्स में वरिष्ठ सॉफ्टवेयर इंजीनियर हैं। उन्हें बी2बी परियोजनाओं का व्यापक अनुभव है। रवितेजा को नई तकनीकों की खोज करना, फिल्में देखना और परिवार और दोस्तों के साथ समय बिताना पसंद है।
हमारा नवीनतम ब्लॉग पढ़ें: Nest.JS के साथ क्लीन आर्किटेक्चर लागू करना
आपके इनबॉक्स में दिए गए ज्ञान के मूल्य
- AI
- ai कला
- ऐ कला जनरेटर
- ऐ रोबोट
- एंड्रॉयड
- अनुप्रयोग विकास
- कृत्रिम बुद्धिमत्ता
- कृत्रिम बुद्धिमत्ता प्रमाणन
- बैंकिंग में आर्टिफिशियल इंटेलिजेंस
- आर्टिफिशियल इंटेलिजेंस रोबोट
- आर्टिफिशियल इंटेलिजेंस रोबोट
- कृत्रिम बुद्धि सॉफ्टवेयर
- blockchain
- ब्लॉकचेन सम्मेलन एआई
- कॉइनजीनियस
- संवादी कृत्रिम बुद्धिमत्ता
- क्रिप्टो सम्मेलन एआई
- दल-ए
- ध्यान लगा के पढ़ना या सीखना
- देव ऑप्स
- इसे गूगल करें
- iOS
- यंत्र अधिगम
- मंत्र लैब्स
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- स्केल एआई
- वाक्यविन्यास
- जेफिरनेट
