Ngày nay, các cuộc tấn công mạng và đánh cắp dữ liệu đã trở nên quá phổ biến, đặc biệt là đối với các ứng dụng di động. Do đó, các ứng dụng dành cho thiết bị di động gặp vi phạm bảo mật có thể bị thiệt hại về tài chính. Với nhiều tin tặc để mắt tới để đánh cắp dữ liệu khách hàng, việc bảo mật các ứng dụng này đã trở thành ưu tiên số một của các tổ chức và là thách thức nghiêm trọng đối với các nhà phát triển. Theo nghiên cứu gần đây của Gartner, Chu kỳ cường điệu cho bảo mật ứng dụng, đầu tư vào bảo mật ứng dụng sẽ tăng hơn hai lần trong vài năm tới, từ 6 tỷ USD năm nay lên 13.7 tỷ USD vào năm 2026. Ngoài ra, báo cáo cho biết, “Bảo mật ứng dụng hiện là ưu tiên hàng đầu của các nhà phát triển và bảo mật các chuyên gia và trọng tâm hiện đang chuyển sang các ứng dụng được lưu trữ trên các đám mây công cộng, ”Điều quan trọng là phải xác định đúng các thành phần cơ bản của bảo mật DevOps. Dưới đây là 12 mẹo để bảo mật ứng dụng di động của bạn:
1. Cài đặt ứng dụng từ các nguồn đáng tin cậy:
Thông thường các ứng dụng Android được xuất bản lại trên các thị trường thay thế hoặc APK và IPA của chúng có sẵn để tải xuống. Cả APK và IPA đều có thể được tải xuống và cài đặt từ nhiều nơi, bao gồm trang web, dịch vụ đám mây, ổ đĩa, phương tiện truyền thông xã hội và mạng xã hội. Chỉ Cửa hàng Play và Cửa hàng ứng dụng mới được phép cài đặt các tệp APK và IPA đáng tin cậy. Để ngăn việc sử dụng các ứng dụng này, chúng tôi nên phát hiện kiểm tra nguồn (Cửa hàng Play hoặc Cửa hàng ứng dụng) khi khởi động ứng dụng.
2. Phát hiện gốc:
Android: Kẻ tấn công có thể khởi chạy ứng dụng di động trên thiết bị đã root và truy cập bộ nhớ cục bộ hoặc gọi các hoạt động hoặc ý định cụ thể để thực hiện các hoạt động độc hại trong ứng dụng.
iOS: Các ứng dụng trên thiết bị đã bẻ khóa chạy dưới quyền root bên ngoài hộp cát iOS. Điều này có thể cho phép các ứng dụng truy cập vào dữ liệu nhạy cảm được lưu trữ trong các ứng dụng khác hoặc cài đặt phần mềm độc hại từ chối chức năng hộp cát.
Thông tin thêm về Phát hiện gốc- https://owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. Lưu trữ dữ liệu:
Các nhà phát triển sử dụng Tùy chọn chia sẻ & Mặc định của người dùng để lưu trữ các cặp khóa-giá trị như mã thông báo, số điện thoại di động, email, giá trị boolean, v.v. Ngoài ra, trong khi tạo ứng dụng, các nhà phát triển thích cơ sở dữ liệu SQLite hơn cho dữ liệu có cấu trúc. Nên lưu trữ bất kỳ dữ liệu nào dưới dạng mã hóa để khó bị tin tặc trích xuất thông tin.
4. Chìa khóa bí mật an toàn:
Khóa API, mật khẩu và mã thông báo không được mã hóa cứng trong mã. Khuyến nghị sử dụng các kỹ thuật khác nhau để lưu trữ các giá trị này để tin tặc không thể lấy đi nhanh chóng bằng cách giả mạo ứng dụng.
Đây là một liên kết tham khảo: https://guides.codepath.com/android/Storing-Secret-Keys-in-Android
5. Làm xáo trộn mã
Kẻ tấn công có thể dịch ngược tệp APK và trích xuất mã nguồn của ứng dụng. Điều này có thể làm lộ thông tin nhạy cảm được lưu trữ trong mã nguồn của ứng dụng cho kẻ tấn công, những thông tin này có thể được sử dụng để thực hiện các cuộc tấn công phù hợp.
Tốt hơn là bạn nên làm xáo trộn mã nguồn để ngăn chặn tất cả các thông tin nhạy cảm có trong mã nguồn.
6. Giao tiếp an toàn:
Kẻ tấn công có thể thực hiện các hoạt động độc hại để tận dụng mức độ tấn công vì tất cả giao tiếp đều diễn ra qua các kênh không được mã hóa. Vì vậy, hãy luôn sử dụng URL HTTPS thay vì URL HTTP.
7. Ghim SSL:
Ghim chứng chỉ cho phép các ứng dụng di động chỉ hạn chế giao tiếp với các máy chủ có chứng chỉ hợp lệ khớp với giá trị mong đợi (pin). Ghim đảm bảo rằng không có dữ liệu mạng nào bị xâm phạm ngay cả khi người dùng bị lừa cài đặt chứng chỉ gốc độc hại trên thiết bị di động của họ. Bất kỳ ứng dụng nào ghim các chứng chỉ của ứng dụng đó sẽ ngăn chặn những nỗ lực lừa đảo như vậy bằng cách từ chối truyền dữ liệu qua một kết nối bị xâm phạm
Xin vui lòng tham khảo:
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. Dữ liệu phản hồi và yêu cầu API an toàn
Thực tiễn tiêu chuẩn là sử dụng HTTPS để bảo vệ cơ sở cho các lệnh gọi API REST. Thông tin được gửi đến máy chủ hoặc nhận được từ máy chủ có thể được mã hóa thêm bằng AES, v.v. Ví dụ: nếu có nội dung nhạy cảm, bạn có thể chọn những nội dung đó để mã hóa để ngay cả khi HTTPS bằng cách nào đó bị hỏng hoặc bị định cấu hình sai, bạn có một lớp bảo vệ khác khỏi mã hóa của bạn.
9. Xác thực ứng dụng di động an toàn:
Trong trường hợp một ứng dụng không chỉ định mã thông báo phiên khác biệt và phức tạp sau khi đăng nhập cho người dùng, kẻ tấn công có thể thực hiện hành vi lừa đảo để dụ nạn nhân sử dụng mã thông báo được tạo tùy chỉnh do kẻ tấn công cung cấp và dễ dàng bỏ qua trang đăng nhập với phiên bị bắt. bằng cách sử dụng một cuộc tấn công MiTM.
i) Gán một mã phiên phức tạp và riêng biệt cho người dùng mỗi khi họ đăng nhập thành công vào ứng dụng.
ii) Chấm dứt thời gian tồn tại của phiên ngay sau khi đăng xuất.
iii) Không sử dụng cùng một mã thông báo phiên cho hai hoặc nhiều địa chỉ IP.
iv) Giới hạn thời gian hết hạn cho mỗi mã thông báo phiên.
10. Cho phép sao lưu
Không cho phép người dùng sao lưu ứng dụng nếu ứng dụng đó chứa dữ liệu nhạy cảm. Có quyền truy cập vào các tệp sao lưu (tức là khi android: allowBackup = ”true”), có thể sửa đổi / đọc nội dung của ứng dụng ngay cả trên thiết bị không được root. Vì vậy, bạn nên tạo cho phép sao lưu sai.
11. Hạn chế truy cập màn hình ứng dụng Android từ các ứng dụng khác
Tốt nhất, các hoạt động của bạn không nên cung cấp bất kỳ điều khoản nào cho việc mở từ các dịch vụ hoặc ứng dụng khác. Chỉ biến điều đó thành sự thật khi bạn có yêu cầu cụ thể để truy cập màn hình rung từ các ứng dụng khác, nếu không, hãy thay đổi thành Android: export = ”false”
12. Hạn chế cài đặt các gói từ ứng dụng Android
REQUEST_INSTALL_PACKAGES quyền cho phép các ứng dụng cài đặt các gói mới trên thiết bị của người dùng. Chúng tôi cam kết ngăn chặn hành vi lạm dụng trên nền tảng Android và bảo vệ người dùng khỏi các ứng dụng tự cập nhật bằng bất kỳ phương pháp nào ngoài cơ chế cập nhật của Google Play hoặc tải xuống các APK có hại.
Kết luận:
Ứng dụng Di động đã trở nên cá nhân hóa hơn bao giờ hết với hàng đống dữ liệu cá nhân của khách hàng được lưu trữ trong đó mỗi ngày. Để xây dựng lòng tin và sự trung thành giữa người dùng và ngăn ngừa thiệt hại đáng kể về tài chính và chứng chỉ cho các công ty, điều quan trọng bây giờ là đảm bảo ứng dụng được bảo mật cho người dùng. Làm theo danh sách kiểm tra bảo mật ứng dụng dành cho thiết bị di động được đề cập ở trên chắc chắn sẽ giúp ngăn chặn tin tặc tấn công ứng dụng.
Thông tin về các Tác giả:
Raviteja Aketi là Kỹ sư phần mềm cao cấp tại Mantra Labs. Anh ấy có nhiều kinh nghiệm với các dự án B2B. Raviteja thích khám phá công nghệ mới, xem phim và dành thời gian cho gia đình và bạn bè.
Đọc blog mới nhất của chúng tôi: Triển khai một kiến trúc sạch với Nest.JS
Kiến thức có giá trị được gửi trong hộp thư đến của bạn
- AI
- nghệ thuật ai
- máy phát điện nghệ thuật ai
- ai rô bốt
- Android
- Phát triển ứng dụng
- trí tuệ nhân tạo
- chứng nhận trí tuệ nhân tạo
- trí tuệ nhân tạo trong ngân hàng
- robot trí tuệ nhân tạo
- robot trí tuệ nhân tạo
- phần mềm trí tuệ nhân tạo
- blockchain
- hội nghị blockchain ai
- thiên tài
- trí tuệ nhân tạo đàm thoại
- hội nghị tiền điện tử ai
- dall's
- học kĩ càng
- Hoạt động phát triển
- google ai
- iOS
- học máy
- Phòng thí nghiệm thần chú
- plato
- Plato ai
- Thông tin dữ liệu Plato
- Trò chơi Plato
- PlatoDữ liệu
- Platogaming
- quy mô ai
- cú pháp
- zephyrnet
