Videó: 6 tháng 12, 2019 (November 2024)
Amikor felírjuk a Mobile Threat hétfőt, gyakran beszélünk egy újabb Android-alkalmazásáról, amely mindenhol kiszivárogtatja személyes adatait. Időnként az alkalmazásokba integrált harmadik felek hirdetési platformjai miatt, máskor pedig egyszerűen az alkalmazás fejlesztőjének rossz döntései miatt. Vessen egy pillantást a Starbucks-ra és a kínos epizódra.
Jared Blake, a Moki műszaki vezetője leült, hogy elmondja nekünk öt egyszerű dolgot, amelyeket a fejlesztők megtehetnek az alkalmazások jobb fejlesztése és a Starbuckshoz hasonló címsorok elkerülése érdekében.
1: A HTTPS használata mindenre
A mobil fenyegetés hétfőn való legemlékezéséből származó személyes tapasztalatok alapján úgy tűnik, hogy sok fejlesztő figyelmen kívül hagyja az SSL-t, amikor alkalmazásokat készít. Blake szerint ez csak elfogadhatatlan. Azt mondta, hogy a kommunikációnak "Mindig a HTTPS-ben kell történnie. Nincs egyszerű ok arra, hogy ne."
Az SSL-vel való kommunikáció biztosítása számos általános támadást legyőz, például a közepén zajló támadásokat. Ha ez mind ismerősnek tűnik, azért van, mert állandóan beszélünk róla. Blake szerint a fejlesztőknek át kell venniük a HTTPS-t, "még akkor is, ha úgy érzed, hogy kissé paranoiás vagy."
2: Ne próbálja meg feltalálni a saját titkosítását
Az adatok biztonságának biztosításakor a fejlesztőknek nem szabad megpróbálniuk újra feltalálni a kereket. "Az összes főbb operációs rendszer NIST által tanúsított kriptokerettel rendelkezik" - mondta Blake. Azt mondta, hogy ezek a beépített titkosítási könyvtárak jól megalapozottak és szakértők ellenőrzése alatt álltak, ezért a fejlesztőknek ki kellene használniuk őket.
Ez azért fontos, mert az alkalmazások gyakran birtokolnak kritikus felhasználói adatokat, például jelszavakat és bejelentkezési hitelesítő adatokat. Ennek az információnak a egyszerű szövege egyszerűen nem elegendő.
3: Tisztítsa meg a naplóit
A Starbucks esetében az alkalmazásfejlesztők véletlenül felfedték a felhasználók bejelentkezési és jelszavadatait az alkalmazás naplófájljaiba. Ez nem lepte meg Blake-t, aki ezt megszólalt: "A fejlesztők bármit beledobnek a naplóba."
A fejlesztőknek azonban gondosan mérlegelniük kell, hogy milyen információ kerül ezekbe a fájlokba, amelyek elősegítik az alkalmazás problémáinak elemzését és javítják a jövőbeli kiadásokat.
4: Ismerje meg platformját
A fogyasztók számára nyilvánvalónak tűnhet, de az Android és az iOS nagyon különböző platformok. Blake szerint ez viszont különféle biztonsági kérdésekhez vezet az egyes platformokon. Csak azért, mert alaposan megfontolta az Android biztonsági kérdéseit, nem azt jelenti, hogy az alkalmazás biztonságos lesz az iOS rendszeren.
5: Vigyázzon a személyes információra és a közönségre
Blake a tapasztalatok hiányában sok olyan fejlesztővel kihívja a személyeket, akik személyes azonosításra alkalmasak. A mobil alkalmazások megjelenése nagyon gyorsan bekövetkezett, és Blake szerint sok fejlesztő egyszerűen nem "gondolkodik azon, amire épülnek.
Blake szerint a fejlesztõknek meg kell kérdezni maguktól, hogy az alkalmazásuk által összegyûjtött információk valami miatt aggódnak-e a felhasználók számára, ha azok ki vannak téve. Ha igen, akkor az információkat gondosan meg kell őrizni - vagy egyáltalán nem kell összegyűjteni.
A fogyasztóknak tudatában kell lenniük
Természetesen a fogyasztókat is oktatni kell. Meg kell értenie, hogy még hétköznapinak tűnő információk - például telefonszám vagy e-mail cím - sokat fedhetnek fel róluk. Azt is meg kell értenie, hogy az alkalmazások hogyan gyűjtik ezeket az információkat, ami az Androidon leginkább az alkalmazási engedélyek révén történik.
"Ne csak vakon fogadja el ezeket az engedélyeket" - mondta. "Gondolkodj át rajta. Tényleg szeretnék-e egy alkalmazás számára hozzáférést biztosítani a képernyőn?"
Blake azt is megemlítette, hogy bár egyes rosszindulatú alkalmazások átjutnak a Google Play Áruház ellenőrző rendszerén, ez még mindig nagyon biztonságos hely az alkalmazások beszerzéséhez. "Nekem nagyon nehéz gondolkodni egy olyan helyzetről, amikor valaki olyan alkalmazást terjeszt a Play Áruházon kívül, amelyet letölteni szeretnék" - mondta.
