De aliro al la mikrofono, fotilo kaj loko de la aparato de uzanto, ĝis konstruado de konvinkaj aplikaĵklonoj, ekzistas multaj sistemoj, kiujn programistoj uzas por aliri kaj ekspluati personajn datumojn de sensuspektaj uzantoj de poŝtelefonaj aplikaĵoj.
La jenaj estas kelkaj gravaj sekurecaj minacoj pri moveblaj aplikaĵoj, pri kiuj vi devus scii.
1. Manko de Multfaktora Aŭtentigo
Plej multaj el ni ne kontentas uzi la saman nesekuran pasvorton tra pluraj kontoj. Nun konsideru la nombron da uzantoj, kiujn vi havas. Sendepende de ĉu la pasvorto de uzanto estis endanĝerigita pro paŭzo ĉe malsama organizo, programistoj ofte testas pasvortojn sur aliaj aplikoj, kiuj povas konduki al atako kontraŭ via organizo.
Plurfaktora aŭtentigo, ofte uzante du el la tri eblaj elementoj de konfirmo, ne dependas tute de la pasvorto de la uzanto antaŭ certigi la identecon de la uzanto. Ĉi tiu ekstra tavolo de aŭtentikigo povas esti la respondo al persona enketo, SMS-konfirmkodo por inkluzivi, aŭ biometrika aŭtentigo (fingrospuro, retino, ktp).
2. Malsukceso Ĉifri Ĝuste
Ĉifrado estas la vojo al bildigo de informoj en neĉifreblan kodon, kiu prefere nur videblas post kiam ĝi estis retradukita per la sekreta ŝlosilo. Kiel tia, ĉifrado ŝanĝas la sekvencon de kombina seruro, tamen, estu singardaj, programistoj kapablas elekti serurojn.
Kiel indikite de Symantec, 13.4% de aĉetantaj aparatoj kaj 10.5% de grandaj entreprenaj aparatoj ne havas ĉifradon ebligita. Ĉi tio implicas, ke se programistoj aliras tiujn aparatojn, personaj informoj estos alireblaj en simpla teksto.
Bedaŭrinde, la programaraj kompanioj, kiuj uzas ĉifradon, ne estas imunaj kontraŭ eraro. Programistoj estas homoj kaj faras erarojn, kiujn programistoj povas misuzi. Koncerne al ĉifrado, gravas taksi kiom simple tre bone povas esti fendi la kodon de via aplikaĵo.
Ĉi tiu ofta sekureca vundebleco povas havi gravajn rezultojn inkluzive de protektita noviga ŝtelo, kodŝtelo, privateco-malobservoj kaj reputacia damaĝo, nur por nomi kelkajn.
3. Inversa Inĝenieristiko
La ideo de programado malfermas multajn aplikojn al la minaco de Inversa Inĝenierado. La sana kvanto da metadatumoj donitaj en kodo destinita por senararigado same helpas atakanton kompreni kiel funkcias aplikaĵo.
Inversa Inĝenierado povas esti uzata por malkaŝi kiel la aplikaĵo funkcias en la malantaŭo, malkaŝi ĉifrajn algoritmojn, ŝanĝi la fontkodon kaj pli. Via propra kodo povas esti uzata kontraŭ vi kaj pavimi vojon por hackers.
4. Malica Kodo-Injekto-Ekspozicio
Uzant-generita enhavo, simila al formoj kaj enhavo, povas ofte esti ignorita pro ĝia atendata minaco al movebla aplikaĵa sekureco.
Ni devus uzi la ensalutan strukturon ekzemple. Kiam uzanto enigas sian uzantnomon kaj pasvorton, la aplikaĵo parolas kun servilflankaj datumoj por aŭtentikigi. Aplikoj, kiuj ne limigas la karakterojn kiujn uzanto povas efike enigi, riskas, ke hakistoj injektas kodon por aliri la servilon.
Se malica uzanto enigas linion de JavaScript en ensalutan strukturon, kiu ne protektas signojn kiel la ekvivalenta signo aŭ dupunkto, ili sendube povas atingi privatajn informojn.
5. Datumstokado
Nesekura datumstokado povas okazi en multaj lokoj ene de via aplikaĵo. Ĉi tio inkluzivas SQL-datumbazoj, kuketaj vendejoj, binaraj datumbutikoj, kaj pli.
Se retpirato aliras aparaton aŭ datumbazon, ili povas ŝanĝi la aŭtentan aplikaĵon por enkanaligi informojn al siaj maŝinoj.
Eĉ modernaj ĉifraj valorpaperoj estas liveritaj senutilaj kiam aparato estas jailbreakita aŭ establita, kio permesas al hackers preterpasi operaciumajn limojn kaj eviti ĉifradon.
Ofte, nesekura datumstokado estas kaŭzita de foresto de procezoj por trakti la kaŝmemoron de datumoj, bildoj kaj klavpremoj.
La plej efika metodo por Sekurigi Vian Poŝtelefonon
Sendepende de la konsekvenca batalo por teni hackers sub kontrolo, ekzistas iuj komunaj fadenoj de sekurecaj plej bonaj praktikoj, kiuj certigas la grandajn Poŝtelefonajn kompaniojn.
Plej bonaj praktikoj pri sekureco de poŝtelefonaj aplikaĵoj
1. Uzu Servilo-Flanka Aŭtentigo
En perfekta mondo, plurfaktoraj aŭtentikigpetoj estas permesitaj ĉe la servilo kaj nur alirebla rajtigo sukcesas. Se via aplikaĵo atendas ke datumoj estos stokitaj ĉe la kliento kaj alireblaj sur la aparato, certigu, ke la ĉifritaj datumoj nur povas esti aliritaj post kiam la akreditaĵoj estas sukcese validigitaj.
2. Uzu Kriptografiajn Algoritmojn kaj Ŝlosiladministradon
Unu Strategio por batali kontraŭ ĉifrado-rilataj paŭzoj estas provi ne stoki sentemajn datumojn sur poŝtelefono. Ĉi tio inkluzivas malmolajn ŝlosilojn kaj pasvortojn, kiuj povus esti alireblaj en simpla teksto aŭ uzataj de atakanto por aliri la servilon.
3. Certigu, ke Ĉiuj Uzantaj Enigaĵoj Konformas al Kontrolaj Normoj
Hakistoj estas akraj dum testado de via info-aprobo. Ili traserĉas vian apon por ajna potencialo por la agnosko de distordita informo.
Eniga validumado estas metodaro por garantii nur informojn kiu estas normala povas esti trapasita enigkampo. Dum alŝuto de bildo, ekzemple, la dosiero devus havi etendon, kiu kongruas kun normaj bildaj etendaĵoj kaj devus esti racie grandeco.
4. Konstruu Minaco-Modelojn Por Defendi Datumojn
Minaco-Modelado estas tekniko uzata por profunde kompreni la malfacilecon, kiu estas traktita, kie problemoj povas ekzisti, kaj procedurojn por protekti kontraŭ ili.
Bone informita minacmodelo postulas, ke la teamo vidu kiel unikaj operaciumoj, platformoj, kadroj kaj eksteraj APIoj transdonas kaj stokas siajn datumojn. Pligrandigo de kadroj kaj konektiĝi kun triaj API-oj povas malfermi vin ankaŭ al iliaj fiaskoj.
5. Malklarigi Por Malhelpi Inversan Inĝenieristikon
En multaj kazoj, programistoj havas la esencajn kapablojn kaj ilojn por konstrui konvinkajn kopiojn de la UI de poŝtelefona aplikaĵo sen aliri la fontkodon. Ekskluziva komerca logiko, tiam denove, postulas signife pli da ideoj kaj klopodoj.
Programistoj uzas indentaĵon por fari sian kodon pli legebla por homoj, kvankam la komputilo ne povus malpli zorgi pri taŭga formatado. Ĉi tio estas la kialo, ke minigo, kiu forigas ĉiujn spacojn, konservas funkciojn, tamen malfaciligas al hakistoj kompreni la kodon.
Por pli interesaj Teknologiaj blogoj, vizitu nian retejo.