Cyberangrep og datatyveri har blitt så vanlig i disse dager, spesielt når det kommer til mobilapplikasjoner. Som et resultat kan mobilapper som opplever sikkerhetsbrudd lide økonomiske tap. Med mange hackere som ønsker å stjele kundedata, har sikring av disse applikasjonene blitt prioritet nummer én for organisasjoner og en alvorlig utfordring for utviklere. I følge Gartners nylige forskning, Hype-syklus for applikasjonssikkerhet, vil investeringene i applikasjonssikkerhet øke med mer enn det dobbelte i løpet av de neste årene, fra 6 milliarder dollar i år til 13.7 milliarder dollar innen 2026. Videre heter det i rapporten: «Applikasjonssikkerhet er nå i fokus for utviklere og sikkerhet profesjonelle, og vekten er nå rettet mot apper som er vert i offentlige skyer," Det er avgjørende å få de grunnleggende komponentene i DevOps-sikkerheten korrekte. Her er de 12 tipsene for å sikre mobilapplikasjonen din:
1. Installer apper fra pålitelige kilder:
Det er vanlig å ha Android-applikasjoner publisert på nytt på alternative markeder eller deres APK-er og IPA-er gjort tilgjengelig for nedlasting. Både APK og IPA kan lastes ned og installeres fra en rekke steder, inkludert nettsteder, skytjenester, stasjoner, sosiale medier og sosiale nettverk. Bare Play Store og App Store skal ha tillatelse til å installere pålitelige APK- og IPA-filer. For å forhindre bruk av disse appene, bør vi ha en kildesjekkdeteksjon (Play Store eller App Store) ved oppstart av appen.
2. Rotgjenkjenning:
Android: En angriper kan starte en mobilapplikasjon på en rotet enhet og få tilgang til det lokale minnet eller ringe spesifikke aktiviteter eller hensikter for å utføre ondsinnede aktiviteter i applikasjonen.
iOS: Apper på en jailbroken enhet kjører som root utenfor iOS-sandkassen. Dette kan tillate apper å få tilgang til sensitive data som er lagret i andre apper eller installere skadelig programvare som negerer sandboxing-funksjonalitet.
Mer om rotdeteksjon- https://owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. Datalagring:
Utviklere bruker delte innstillinger og brukerstandarder for å lagre nøkkelverdi-par som tokens, mobilnumre, e-post, boolske verdier osv. I tillegg, mens de lager apper, foretrekker utviklere SQLite-databaser for strukturerte data. Det anbefales å lagre data i krypteringsformatet slik at det er vanskelig å trekke ut informasjonen av hackere.
4. Sikre hemmelige nøkler:
API-nøkler, passord og tokens skal ikke være hardkodet i koden. Det anbefales å bruke forskjellige teknikker for å lagre disse verdiene slik at hackere ikke kan komme raskt unna ved å tukle med applikasjonen.
Her er en referanselink: https://guides.codepath.com/android/Storing-Secret-Keys-in-Android
5. Kodeobfuskasjon
En angriper kan dekompilere APK-filen og trekke ut kildekoden til programmet. Dette kan avsløre sensitiv informasjon som er lagret i kildekoden til applikasjonen for angriperen som kan brukes til å utføre skreddersydde angrep.
Det er bedre å tilsløre kildekoden for å forhindre all sensitiv informasjon i kildekoden.
6. Sikker kommunikasjon:
En angriper kan utføre ondsinnede aktiviteter for å utnytte nivået av angrep siden all kommunikasjon skjer over ukrypterte kanaler. Så bruk alltid HTTPS-URL-er over HTTP-URL-er.
7. SSL-festing:
Sertifikatfesting lar mobilapplikasjoner begrense kommunikasjon kun til servere med et gyldig sertifikat som samsvarer med forventet verdi (pin). Festing sikrer det ingen nettverksdata kompromitteres selv om en bruker blir lurt til å installere et ondsinnet rotsertifikat på mobilenheten sin. Enhver app som fester sertifikatene sine, vil hindre slike phishing-forsøk ved å nekte å overføre data over en kompromittert tilkobling
Vennligst referer:
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. Sikre API-forespørsels- og svardata
Standard praksis er å bruke HTTPS for grunnlinjebeskyttelse av REST API-kall. Informasjonen som sendes til serveren eller mottas fra serveren kan være ytterligere kryptert med AES osv. Hvis det for eksempel er sensitivt innhold, kan du velge å velge dem som skal krypteres, slik at selv om HTTPS-en på en eller annen måte er ødelagt eller feilkonfigurert ha et nytt lag med beskyttelse mot krypteringen din.
9. Sikker mobilappautentisering:
I tilfelle en applikasjon ikke tildeler distinkte og komplekse økttokener etter pålogging til en bruker, kan en angriper utføre phishing for å lokke offeret til å bruke et spesialgenerert token levert av angriperen og enkelt omgå påloggingssiden med den fangede økten ved å bruke et MiTM-angrep.
i) Tilordne en distinkt og kompleks sesjonstoken til en bruker hver gang han/hun logger seg på applikasjonen.
ii) Avslutt øktens levetid umiddelbart etter utlogging.
iii) Ikke bruk samme sesjonstoken for to eller flere IP-adresser.
iv) Begrens utløpstiden for hvert økttoken.
10. Tillat sikkerhetskopiering
Ikke tillat brukere å sikkerhetskopiere en app hvis den inneholder sensitive data. Ved å ha tilgang til sikkerhetskopifiler (dvs. når android:allowBackup=”true”), er det mulig å endre/lese innholdet i en app selv på en enhet som ikke er rotet. Så det anbefales å gjøre tillat sikkerhetskopiering falsk.
11. Begrens tilgang til Android-applikasjonsskjermer fra andre apper
Ideelt sett bør ikke aktivitetene dine gi noen mulighet til å åpne fra andre tjenester eller applikasjoner. Gjør det sant bare når du har et spesifikt krav for å få tilgang til flagreskjermene dine fra andre apper ellers endre til android:exported= "false"
12. Begrens installasjon av pakker fra Android-applikasjonen
REQUEST_INSTALL_PACKAGES tillatelse lar apper installere nye pakker på en brukers enhet. Vi er forpliktet til å forhindre misbruk på Android-plattformen og beskytte brukere mot apper som selvoppdaterer ved hjelp av en annen metode enn Google Plays oppdateringsmekanisme eller laster ned skadelige APK-er.
Konklusjon:
Mobilapper har blitt mer personlig tilpasset enn noen gang før med haugevis av kunders personlige data lagret i dem hver dag. For å bygge tillit og lojalitet blant brukere og forhindre betydelige økonomiske og legitimasjonstap for selskapene, er det nå avgjørende å sørge for at applikasjonen er sikker for brukeren. Å følge de ovennevnte sikkerhetssjekklistene for mobilapper vil definitivt bidra til å forhindre hackere i å hacke appen.
Om forfatteren:
Raviteja Aketi er senior programvareingeniør ved Mantra Labs. Han har lang erfaring med B2B-prosjekter. Raviteja elsker å utforske nye teknologier, se filmer og tilbringe tid med familie og venner.
Les vår siste blogg: Implementering av en ren arkitektur med Nest.JS
Det er verdt å levere kunnskap i innboksen
- AI
- ai kunst
- ai art generator
- du har en robot
- android
- Applikasjonutvikling
- kunstig intelligens
- sertifisering av kunstig intelligens
- kunstig intelligens i bankvirksomhet
- kunstig intelligens robot
- kunstig intelligens roboter
- programvare for kunstig intelligens
- blockchain
- blockchain konferanse ai
- coingenius
- samtale kunstig intelligens
- kryptokonferanse ai
- dall sin
- dyp læring
- Dev Ops
- google det
- iOS
- maskinlæring
- Mantra Labs
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- skala ai
- syntaks
- zephyrnet
