Des de l'accés al micròfon, la càmera i la ubicació del dispositiu d'un usuari fins a la creació de clons d'aplicacions convincents, hi ha nombrosos sistemes que els programadors utilitzen per accedir i explotar les dades personals d'usuaris d'aplicacions mòbils desprevinguts.
A continuació es mostren algunes amenaces importants de seguretat de les aplicacions mòbils que hauríeu de conèixer.
1. Falta d'autenticació multifactor
La majoria de nosaltres no estem satisfets amb l'ús de la mateixa contrasenya insegura en diversos comptes. Ara considereu el nombre d'usuaris que teniu. Independentment de si la contrasenya d'un usuari es va veure compromesa a causa d'una pausa en una organització diferent, els programadors solen provar les contrasenyes en altres aplicacions, cosa que pot provocar un atac a la vostra organització.
L'autenticació multifactor, que utilitza sovint dos dels tres elements potencials de confirmació, no depèn completament de la contrasenya de l'usuari abans de garantir la identitat de l'usuari. Aquesta capa addicional d'autenticació pot ser la resposta a una consulta personal, un codi de confirmació per SMS per incloure o una autenticació biomètrica (empremta digital, retina, etc.).
2. No xifrar correctament
El xifratge és la manera de representar la informació en un codi indescifrable que, preferiblement, només es pot veure després d'haver estat traduït de nou amb la clau secreta. Com a tal, el xifratge canvia la seqüència d'un bloqueig de combinació, però, aneu amb compte, els programadors són hàbils per escollir panys.
Tal com indica Symantec, el 13.4% dels dispositius dels compradors i el 10.5% dels dispositius de les grans empreses no tenen el xifratge habilitat. Això implica que si els programadors accedeixen a aquests dispositius, la informació personal serà accessible en text sense format.
Malauradament, les empreses de programari que utilitzen el xifratge no són immunes a un error. Els desenvolupadors són humans i cometen errors que els programadors poden abusar. Pel que fa a l'encriptació, és important avaluar com de senzill pot ser descifrar el codi de la vostra aplicació.
Aquesta vulnerabilitat de seguretat comuna pot tenir conseqüències greus, com ara robatori d'innovació protegida, robatori de codi, violacions de la privadesa i danys a la reputació, només per citar-ne alguns.
3. Enginyeria inversa
La idea de programar obre nombroses aplicacions a l'amenaça de l'enginyeria inversa. La bona quantitat de metadades proporcionades al codi destinat a la depuració també ajuda un atacant a entendre com funciona una aplicació.
L'enginyeria inversa es pot utilitzar per revelar com funciona l'aplicació al fons, revelar algorismes de xifratge, canviar el codi font i molt més. El vostre propi codi es pot utilitzar en contra vostre i obrir camí als pirates informàtics.
4. Exposició a la injecció de codi maliciós
El contingut generat per l'usuari, similar als formularis i continguts, sovint es pot ignorar per la seva esperada amenaça per a la seguretat de les aplicacions mòbils.
Hauríem d'utilitzar l'estructura d'inici de sessió, per exemple. Quan un usuari introdueix el seu nom d'usuari i contrasenya, l'aplicació parla amb dades del servidor per autenticar-se. Les aplicacions que no restringeixen els caràcters que un usuari pot introduir de manera efectiva corren el risc que els pirates informàtics injectin codi per accedir al servidor.
Si un usuari maliciós introdueix una línia de JavaScript en una estructura d'inici de sessió que no protegeix els caràcters com el signe equivalent o els dos punts, sens dubte pot accedir a informació privada.
5. Emmagatzematge de dades
L'emmagatzematge de dades insegur es pot produir en nombrosos llocs dins de la vostra aplicació. Això inclou Bases de dades SQL, botigues de galetes, magatzems de dades binàries i molt més.
Si un pirata informàtic accedeix a un dispositiu o base de dades, pot canviar l'aplicació autèntica per canalitzar la informació a les seves màquines.
Fins i tot els valors de xifratge moderns són inútils quan un dispositiu està jailbreak o s'estableix, cosa que permet als pirates informàtics evitar les limitacions del sistema operatiu i eludir el xifratge.
Normalment, l'emmagatzematge de dades insegur es produeix per l'absència de processos per fer front a la memòria cau de dades, imatges i pressions de tecles.
El mètode més eficaç per protegir el vostre mòbil
Independentment de la batalla constant per mantenir els pirates informàtics sota control, hi ha alguns fils comuns de bones pràctiques de seguretat que asseguren les grans empreses mòbils.
Bones pràctiques de seguretat d'aplicacions mòbils
1. Utilitzeu l'autenticació del costat del servidor
En un món perfecte, les sol·licituds d'autenticació multifactorial es permeten al costat del servidor i només l'autorització accessible té èxit. Si la vostra aplicació espera que les dades s'emmagatzemin al costat del client i siguin accessibles al dispositiu, assegureu-vos que només es pugui accedir a les dades xifrades un cop s'hagin validat correctament les credencials.
2. Utilitzar algorismes de criptografia i gestió de claus
Una estratègia per lluitar contra les ruptures relacionades amb el xifratge és intentar no emmagatzemar dades sensibles en un telèfon mòbil. Això inclou claus i contrasenyes codificades en dur que es podrien fer accessibles en text sense format o utilitzades per un atacant per accedir al servidor.
3. Assegureu-vos que totes les entrades dels usuaris compleixin els estàndards de comprovació
Els pirates informàtics són aguts a l'hora de provar la vostra aprovació de la informació. Escolten la vostra aplicació a la recerca de qualsevol potencial per reconèixer informació distorsionada.
La validació d'entrada és una metodologia per garantir que només la informació que és normal es pugui passar per un camp d'entrada. Quan carregueu una imatge, per exemple, el fitxer hauria de tenir una extensió que coincideixi amb les extensions estàndard del fitxer d'imatge i hauria de tenir una mida raonable.
4. Construir models d'amenaça per defensar les dades
El modelatge d'amenaces és una tècnica que s'utilitza per comprendre profundament la dificultat que s'està abordant, on poden existir problemes i els procediments per protegir-los.
Un model d'amenaça ben informat exigeix que l'equip vegi com els sistemes operatius, les plataformes, els marcs i les API externes únics transfereixen i emmagatzemen les seves dades. Ampliar-se als marcs i connectar-se amb API de tercers també us pot obrir als seus errors.
5. Ofuscar per evitar l'enginyeria inversa
En molts casos, els desenvolupadors tenen les habilitats i les eines essencials per crear rèpliques convincents de la interfície d'usuari d'una aplicació mòbil sense accedir al codi font. La lògica empresarial exclusiva, de nou, requereix molt més idees i esforços.
Els desenvolupadors utilitzen el sagnat per fer que el seu codi sigui més llegible per a la gent, tot i que a l'ordinador no li importa menys el format adequat. Aquesta és la raó per la qual la minificació, que elimina tots els espais, manté la funcionalitat però dificulta que els pirates informàtics entenguin el codi.
Per obtenir més blocs de tecnologia interessants, visiteu el nostre .