Από την πρόσβαση στο μικρόφωνο, την κάμερα και τη θέση της συσκευής ενός χρήστη μέχρι τη δημιουργία πειστικών κλώνων εφαρμογών, υπάρχουν πολλά συστήματα που χρησιμοποιούν οι προγραμματιστές για την πρόσβαση και την εκμετάλλευση προσωπικών δεδομένων ανυποψίαστων χρηστών εφαρμογών για κινητά.

Ακολουθούν ορισμένες σημαντικές απειλές για την ασφάλεια των εφαρμογών για κινητά που πρέπει να γνωρίζετε.

 

1. Έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων

Οι περισσότεροι από εμάς δεν είμαστε ικανοποιημένοι με τη χρήση του ίδιου μη ασφαλούς κωδικού πρόσβασης σε πολλούς λογαριασμούς. Τώρα σκεφτείτε τον αριθμό των χρηστών που έχετε. Ανεξάρτητα από το εάν ο κωδικός πρόσβασης ενός χρήστη παραβιάστηκε μέσω διακοπής σε διαφορετικό οργανισμό, οι προγραμματιστές δοκιμάζουν συχνά τους κωδικούς πρόσβασης σε άλλες εφαρμογές, γεγονός που μπορεί να οδηγήσει σε επίθεση στον οργανισμό σας.

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων, που χρησιμοποιεί συχνά δύο από τα τρία πιθανά στοιχεία επιβεβαίωσης, δεν εξαρτάται εξ ολοκλήρου από τον κωδικό πρόσβασης του χρήστη πριν από τη διασφάλιση της ταυτότητας του χρήστη. Αυτό το επιπλέον επίπεδο ελέγχου ταυτότητας μπορεί να είναι η απάντηση σε μια προσωπική ερώτηση, ένας κωδικός επιβεβαίωσης SMS που θα συμπεριληφθεί ή βιομετρικός έλεγχος ταυτότητας (δακτυλικό αποτύπωμα, αμφιβληστροειδής κ.λπ.).

 

2. Αποτυχία σωστής κρυπτογράφησης

Η κρυπτογράφηση είναι ο τρόπος απόδοσης των πληροφοριών σε έναν μη αποκρυπτογραφημένο κώδικα που είναι κατά προτίμηση ορατός μόλις μεταφραστεί με χρήση του μυστικού κλειδιού. Ως εκ τούτου, η κρυπτογράφηση αλλάζει τη σειρά μιας κλειδαριάς συνδυασμού, ωστόσο, να είστε προσεκτικοί, οι προγραμματιστές είναι έμπειροι στην επιλογή κλειδαριών.

Όπως επισημαίνεται από τη Symantec, το 13.4% των συσκευών αγοραστών και το 10.5% των συσκευών μεγάλων επιχειρήσεων δεν έχουν ενεργοποιημένη κρυπτογράφηση. Αυτό σημαίνει ότι εάν οι προγραμματιστές έχουν πρόσβαση σε αυτές τις συσκευές, οι προσωπικές πληροφορίες θα είναι προσβάσιμες σε απλό κείμενο.

Δυστυχώς, οι εταιρείες λογισμικού που χρησιμοποιούν κρυπτογράφηση δεν είναι απρόσβλητες από λάθος. Οι προγραμματιστές είναι άνθρωποι και διαπράττουν σφάλματα που οι προγραμματιστές μπορούν να καταχραστούν. Όσον αφορά την κρυπτογράφηση, είναι σημαντικό να αξιολογήσετε πόσο απλό μπορεί να είναι να σπάσετε τον κώδικα της εφαρμογής σας.

Αυτή η κοινή ευπάθεια ασφαλείας μπορεί να έχει σοβαρά αποτελέσματα, όπως προστατευμένη κλοπή καινοτομίας, κλοπή κώδικα, παραβιάσεις απορρήτου και ζημιά στη φήμη, για να αναφέρουμε μόνο μερικά.

 

3. Αντίστροφη Μηχανική

Η ιδέα του προγραμματισμού ανοίγει πολλές εφαρμογές στην απειλή της Αντίστροφης Μηχανικής. Η υγιής ποσότητα μεταδεδομένων που δίνεται σε κώδικα που προορίζεται για εντοπισμό σφαλμάτων βοηθά επίσης έναν εισβολέα να καταλάβει πώς λειτουργεί μια εφαρμογή.

Το Reverse Engineering μπορεί να χρησιμοποιηθεί για να αποκαλύψει πώς λειτουργεί η εφαρμογή στο back-end, να αποκαλύψει αλγόριθμους κρυπτογράφησης, να αλλάξει τον πηγαίο κώδικα και πολλά άλλα. Ο δικός σας κώδικας μπορεί να χρησιμοποιηθεί εναντίον σας και να ανοίξει δρόμους για τους χάκερ.

 

4. Έκθεση σε κακόβουλο κώδικα

Το περιεχόμενο που δημιουργείται από χρήστες, παρόμοιο με φόρμες και περιεχόμενα, μπορεί συχνά να αγνοηθεί λόγω της αναμενόμενης απειλής για την ασφάλεια των εφαρμογών για κινητά.

Θα πρέπει να χρησιμοποιήσουμε τη δομή σύνδεσης για παράδειγμα. Όταν ένας χρήστης εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του, η εφαρμογή μιλάει με δεδομένα από την πλευρά του διακομιστή για έλεγχο ταυτότητας. Οι εφαρμογές που δεν περιορίζουν τους χαρακτήρες που μπορεί να εισαγάγει αποτελεσματικά ένας χρήστης διατρέχουν τον κίνδυνο εισβολής κώδικα από χάκερ για πρόσβαση στον διακομιστή.

Εάν ένας κακόβουλος χρήστης εισάγει μια γραμμή JavaScript σε μια δομή σύνδεσης που δεν προστατεύει από χαρακτήρες όπως το αντίστοιχο σύμβολο ή άνω και κάτω τελεία, μπορεί αναμφίβολα να μεταβεί σε προσωπικές πληροφορίες.

 

5. Αποθήκευση δεδομένων

Η μη ασφαλής αποθήκευση δεδομένων μπορεί να προκύψει σε πολλά σημεία μέσα στην εφαρμογή σας. Αυτό περιλαμβάνει Βάσεις δεδομένων SQL, καταστήματα με μπισκότα, δυαδικές αποθήκες δεδομένων και πολλά άλλα.

Εάν ένας χάκερ αποκτήσει πρόσβαση σε μια συσκευή ή μια βάση δεδομένων, μπορεί να αλλάξει την αυθεντική εφαρμογή για να διοχετεύσει πληροφορίες στους υπολογιστές του.

Ακόμη και τα σύγχρονα χρεόγραφα κρυπτογράφησης παραδίδονται άχρηστα όταν μια συσκευή είναι jailbreak ή εγκατεστημένη, γεγονός που επιτρέπει στους χάκερ να παρακάμψουν τους περιορισμούς του λειτουργικού συστήματος και να παρακάμψουν την κρυπτογράφηση.

Συνήθως, η ανασφαλής αποθήκευση δεδομένων προκαλείται από την απουσία διεργασιών για την αντιμετώπιση της κρυφής μνήμης δεδομένων, εικόνων και πατημάτων πλήκτρων.

 

Η πιο αποτελεσματική μέθοδος για να προστατέψετε το κινητό σας

Ανεξάρτητα από τη συνεχή μάχη για τη διατήρηση υπό έλεγχο των χάκερ, υπάρχουν ορισμένες κοινές βέλτιστες πρακτικές ασφάλειας που διασφαλίζουν τις μεγάλες εταιρείες κινητής τηλεφωνίας.

 

Βέλτιστες πρακτικές ασφάλειας εφαρμογών για κινητά

 

1. Χρησιμοποιήστε τον έλεγχο ταυτότητας από την πλευρά του διακομιστή

Σε έναν τέλειο κόσμο, τα αιτήματα ελέγχου ταυτότητας πολλαπλών παραγόντων επιτρέπονται από την πλευρά του διακομιστή και η εξουσιοδότηση απλώς προσβάσιμη είναι επιτυχής. Εάν η εφαρμογή σας αναμένει ότι τα δεδομένα θα αποθηκευτούν στην πλευρά του πελάτη και θα είναι προσβάσιμα στη συσκευή, βεβαιωθείτε ότι η πρόσβαση στα κρυπτογραφημένα δεδομένα είναι δυνατή μόνο αφού επικυρωθούν επιτυχώς τα διαπιστευτήρια.

 

2. Χρησιμοποιήστε αλγόριθμους κρυπτογραφίας και διαχείριση κλειδιών

Μια στρατηγική για την καταπολέμηση των διακοπών που σχετίζονται με την κρυπτογράφηση είναι να προσπαθήσετε να μην αποθηκεύετε ευαίσθητα δεδομένα σε ένα κινητό τηλέφωνο. Αυτό περιλαμβάνει κωδικοποιημένα κλειδιά και κωδικούς πρόσβασης που θα μπορούσαν να γίνουν προσβάσιμα σε απλό κείμενο ή να χρησιμοποιηθούν από έναν εισβολέα για πρόσβαση στον διακομιστή.

 

3. Βεβαιωθείτε ότι όλες οι εισροές χρήστη πληρούν τα πρότυπα ελέγχου

Οι χάκερ είναι ευκρινείς όταν δοκιμάζουν την έγκριση των πληροφοριών σας. Εξετάζουν την εφαρμογή σας για τυχόν πιθανότητες αναγνώρισης παραμορφωμένων πληροφοριών.

Η επικύρωση εισόδου είναι μια μεθοδολογία που εγγυάται ότι οι πληροφορίες που είναι φυσιολογικές μπορούν να περάσουν μέσα από ένα πεδίο εισαγωγής. Κατά τη μεταφόρτωση μιας εικόνας, για παράδειγμα, το αρχείο θα πρέπει να έχει μια επέκταση που ταιριάζει με τις τυπικές επεκτάσεις αρχείων εικόνας και θα πρέπει να έχει λογικό μέγεθος.

 

4. Δημιουργήστε μοντέλα απειλών για την υπεράσπιση δεδομένων

Το Threat Modeling είναι μια τεχνική που χρησιμοποιείται για την βαθιά κατανόηση της δυσκολίας που αντιμετωπίζεται, όπου μπορεί να υπάρχουν προβλήματα και των διαδικασιών προστασίας από αυτά.

Ένα καλά ενημερωμένο μοντέλο απειλών απαιτεί από την ομάδα να δει πώς τα μοναδικά λειτουργικά συστήματα, οι πλατφόρμες, τα πλαίσια και τα εξωτερικά API μεταφέρουν και αποθηκεύουν τα δεδομένα τους. Η επέκταση πάνω από τα πλαίσια και η σύνδεση με API τρίτων μπορεί να σας ανοίξει και στις αποτυχίες τους.

 

5. Θολώστε για να αποτρέψετε την αντίστροφη μηχανική

Σε πολλές περιπτώσεις, οι προγραμματιστές έχουν τις απαραίτητες ικανότητες και εργαλεία για να δημιουργήσουν πειστικά αντίγραφα της διεπαφής χρήστη μιας εφαρμογής για κινητά χωρίς πρόσβαση στον πηγαίο κώδικα. Η αποκλειστική επιχειρηματική λογική, πάλι, απαιτεί πολύ περισσότερες ιδέες και προσπάθειες.

Οι προγραμματιστές χρησιμοποιούν εσοχές για να κάνουν τον κώδικά τους πιο ευανάγνωστο στους χρήστες, αν και ο υπολογιστής δεν θα μπορούσε να ενδιαφέρεται λιγότερο για τη σωστή μορφοποίηση. Αυτός είναι ο λόγος για τον οποίο η ελαχιστοποίηση, η οποία εξαλείφει όλους τους χώρους, διατηρεί τη λειτουργικότητα, αλλά δυσκολεύει τους χάκερ να κατανοήσουν τον κώδικα.

Για περισσότερα ενδιαφέροντα ιστολόγια τεχνολογίας, επισκεφθείτε μας .