Van toegang tot die mikrofoon, kamera en ligging van 'n gebruiker se toestel, tot die bou van oortuigende toepassingsklone, is daar talle stelsels wat programmeerders gebruik om toegang tot persoonlike data van niksvermoedende mobiele toepassinggebruikers te verkry en te ontgin.
Die volgende is 'n paar belangrike sekuriteitsbedreigings vir mobiele toepassings waarvan u behoort te weet.
1. Gebrek aan multifaktor-verifikasie
Die meeste van ons is nie tevrede met die gebruik van dieselfde onveilige wagwoord oor verskeie rekeninge nie. Oorweeg nou die aantal gebruikers wat jy het. Ongeag of 'n gebruiker se wagwoord deur 'n breek by 'n ander organisasie gekompromitteer is, toets programmeerders gereeld wagwoorde op ander toepassings, wat kan lei tot 'n aanval op jou organisasie.
Multi-faktor-verifikasie, wat dikwels twee van die drie potensiële elemente van bevestiging gebruik, hang nie heeltemal af van die gebruiker se wagwoord voordat die gebruiker se identiteit verseker word nie. Hierdie ekstra laag van verifikasie kan die reaksie op 'n persoonlike navraag, 'n SMS-bevestigingskode om in te sluit, of biometriese verifikasie (vingerafdruk, retina, ensovoorts) wees.
2. Versuim om behoorlik te enkripteer
Enkripsie is die manier om inligting in 'n onontsyferbare kode weer te gee wat verkieslik net sigbaar is nadat dit met die geheime sleutel terugvertaal is. As sodanig verander enkripsie die volgorde van 'n kombinasieslot, wees egter versigtig, programmeerders is vaardig om slotte te kies.
Soos deur Symantec aangedui, het 13.4% van koperstoestelle en 10.5% van groot ondernemingstoestelle nie enkripsie geaktiveer nie. Dit impliseer dat indien programmeerders toegang tot daardie toestelle verkry, persoonlike inligting in gewone teks toeganklik sal wees.
Ongelukkig is die sagtewaremaatskappye wat wel enkripsie gebruik nie immuun teen 'n fout nie. Ontwikkelaars is menslik en begaan foute wat programmeerders kan misbruik. Met betrekking tot enkripsie, is dit belangrik om te bepaal hoe eenvoudig dit baie goed kan wees om jou program se kode te kraak.
Hierdie algemene sekuriteitskwesbaarheid kan ernstige gevolge hê, insluitend beskermde innovasiediefstal, kodediefstal, privaatheidskendings en reputasieskade, om net 'n paar te noem.
3. Reverse Engineering
Die idee van programmering maak talle toepassings oop vir die bedreiging van Reverse Engineering. Die gesonde hoeveelheid metadata wat in kode gegee word wat vir ontfouting bedoel is, help ook 'n aanvaller om te verstaan hoe 'n toepassing funksioneer.
Reverse Engineering kan gebruik word om te onthul hoe die toepassing op die agterkant funksioneer, enkripsiealgoritmes te openbaar, die bronkode te verander, en meer. Jou eie kode kan teen jou gebruik word en die weg baan vir kuberkrakers.
4. Blootstelling van kwaadwillige kode-inspuiting
Gebruiker-gegenereerde inhoud, soortgelyk aan vorms en inhoud, kan gereeld geïgnoreer word vir die verwagte bedreiging daarvan vir mobiele toepassingsekuriteit.
Ons moet byvoorbeeld die aanmeldstruktuur gebruik. Wanneer 'n gebruiker hul gebruikersnaam en wagwoord invoer, praat die toepassing met data aan die bedienerkant om te verifieer. Toepassings wat nie beperk watter karakters 'n gebruiker effektief kan invoer nie, loop die risiko dat kuberkrakers kode inspuit om toegang tot die bediener te kry.
As 'n kwaadwillige gebruiker 'n lyn JavaScript in 'n aanmeldstruktuur invoer wat nie teen karakters soos die ekwivalente teken of dubbelpunt waak nie, kan hulle ongetwyfeld by private inligting uitkom.
5. Databerging
Onveilige databerging kan op talle plekke in jou toepassing voorkom. Dit sluit in SQL databasisse, koekie winkels, Binêre datawinkels, en meer.
As 'n kuberkraker toegang tot 'n toestel of databasis verkry, kan hulle die outentieke toepassing verander om inligting na hul masjiene toe te stuur.
Selfs moderne enkripsie-sekuriteite word nutteloos gelewer wanneer 'n toestel tronkstraf of gevestig is, wat dit vir hackers toelaat om bedryfstelselbeperkings te omseil en enkripsie te omseil.
Gewoonlik word onveilige databerging veroorsaak deur 'n afwesigheid van prosesse om die kas van data, beelde en sleuteldrukte te hanteer.
Die mees effektiewe metode om jou selfoon te beskerm
Ongeag die konsekwente stryd om kuberkrakers onder beheer te hou, is daar 'n paar gemeenskaplike drade van beste sekuriteitspraktyke wat die groot mobiele maatskappye verseker.
Beste praktyke vir mobiele toepassingsekuriteit
1. Gebruik Server-Side Authentication
In 'n perfekte wêreld word multifaktor-verifikasieversoeke aan die bedienerkant toegelaat en net toeganklike magtiging is suksesvol. As jou toepassing verwag dat data aan die kliëntkant gestoor en toeganklik op die toestel sal wees, maak seker dat die geënkripteerde data slegs toegang verkry kan word sodra die geloofsbriewe suksesvol bekragtig is.
2. Gebruik kriptografie-algoritmes en sleutelbestuur
Een strategie om enkripsieverwante onderbrekings te bekamp, is om te probeer om nie sensitiewe data op 'n selfoon te stoor nie. Dit sluit hardgekodeerde sleutels en wagwoorde in wat in gewone teks toeganklik gemaak kan word of deur 'n aanvaller gebruik kan word om toegang tot die bediener te kry.
3. Maak seker dat alle gebruikersinsette aan tjekstandaarde voldoen
Hackers is skerp wanneer hulle jou inligtingsgoedkeuring toets. Hulle soek jou program vir enige potensiaal vir die erkenning van verwronge inligting.
Insetvalidering is 'n metodologie om te verseker dat net inligting wat normaal is, deur 'n invoerveld gegaan kan word. Terwyl u byvoorbeeld 'n prent oplaai, behoort die lêer 'n uitbreiding te hê wat ooreenstem met standaard prentlêeruitbreidings en moet redelik groot wees.
4. Bou bedreigingsmodelle om data te verdedig
Bedreigingsmodellering is 'n tegniek wat gebruik word om die moeilikheid wat aangespreek word, waar probleme kan bestaan, en prosedures om daarteen te beskerm, deeglik te verstaan.
'n Goed ingeligte bedreigingsmodel vereis dat die span sien hoe unieke bedryfstelsels, platforms, raamwerke en eksterne API's hul data oordra en stoor. Om bo-op raamwerke uit te brei en met derdeparty-API's te koppel, kan jou ook oopmaak vir hul mislukkings.
5. Verduister om omgekeerde ingenieurswese te voorkom
In baie gevalle het ontwikkelaars die noodsaaklike vermoëns en gereedskap om oortuigende replikas van 'n mobiele toepassing se UI te bou sonder om toegang tot die bronkode te kry. Eksklusiewe besigheidslogika vereis dan weer aansienlik meer idees en pogings.
Ontwikkelaars gebruik inkeping om hul kode meer leesbaar vir mense te maak, hoewel die rekenaar nie minder kan omgee vir behoorlike formatering nie. Dit is die rede waarom minifikasie, wat alle spasies uitskakel, funksionaliteit behou, maar dit maak dit moeiliker vir kuberkrakers om die kode te verstaan.
Vir meer interessante tegnologie-blogs, besoek ons webwerf.