किसी उपयोगकर्ता के डिवाइस के माइक्रोफ़ोन, कैमरा और स्थान तक पहुंचने से लेकर विश्वसनीय एप्लिकेशन क्लोन बनाने तक, ऐसे कई सिस्टम प्रोग्रामर हैं जिनका उपयोग अनचाहे मोबाइल ऐप उपयोगकर्ताओं के व्यक्तिगत डेटा तक पहुंचने और उसका दोहन करने के लिए किया जाता है।
निम्नलिखित कुछ महत्वपूर्ण मोबाइल एप्लिकेशन सुरक्षा खतरे हैं जिनके बारे में आपको जानना चाहिए।
1. मल्टीफैक्टर प्रमाणीकरण का अभाव
हममें से अधिकांश लोग कई खातों में एक ही असुरक्षित पासवर्ड का उपयोग करने से संतुष्ट नहीं हैं। अब आपके पास उपयोगकर्ताओं की संख्या पर विचार करें। भले ही किसी उपयोगकर्ता के पासवर्ड के साथ किसी अलग संगठन में ब्रेक के माध्यम से छेड़छाड़ की गई हो, प्रोग्रामर अक्सर अन्य अनुप्रयोगों पर पासवर्ड का परीक्षण करते हैं, जिससे आपके संगठन पर हमला हो सकता है।
मल्टी-फैक्टर प्रमाणीकरण, अक्सर पुष्टिकरण के तीन संभावित तत्वों में से दो का उपयोग करते हुए, उपयोगकर्ता की पहचान सुनिश्चित करने से पहले पूरी तरह से उपयोगकर्ता के पासवर्ड पर निर्भर नहीं होता है। प्रमाणीकरण की यह अतिरिक्त परत व्यक्तिगत पूछताछ का जवाब, शामिल करने के लिए एक एसएमएस पुष्टिकरण कोड, या बायोमेट्रिक प्रमाणीकरण (फिंगरप्रिंट, रेटिना, और इसी तरह) हो सकती है।
2. ठीक से एन्क्रिप्ट करने में विफलता
एन्क्रिप्शन जानकारी को एक अनिर्वचनीय कोड में प्रस्तुत करने का एक तरीका है जिसे गुप्त कुंजी का उपयोग करके वापस अनुवादित करने के बाद ही देखा जा सकता है। जैसे, एन्क्रिप्शन संयोजन लॉक के अनुक्रम को बदल देता है, हालांकि, सावधान रहें, प्रोग्रामर ताले चुनने में कुशल हैं।
सिमेंटेक के अनुसार, 13.4% खरीदार डिवाइस और 10.5% बड़े एंटरप्राइज़ डिवाइस में एन्क्रिप्शन सक्षम नहीं है। इसका तात्पर्य यह है कि यदि प्रोग्रामर उन उपकरणों तक पहुंचते हैं, तो व्यक्तिगत जानकारी सादे पाठ में पहुंच योग्य होगी।
दुर्भाग्य से, सॉफ़्टवेयर कंपनियाँ जो एन्क्रिप्शन का उपयोग करती हैं, गलती से प्रतिरक्षित नहीं हैं। डेवलपर्स मानवीय हैं और गलतियाँ करते हैं जिनका प्रोग्रामर दुरुपयोग कर सकते हैं। एन्क्रिप्शन के संबंध में, यह आकलन करना महत्वपूर्ण है कि आपके एप्लिकेशन के कोड को क्रैक करना कितना आसान हो सकता है।
इस सामान्य सुरक्षा भेद्यता के गंभीर परिणाम हो सकते हैं जिनमें संरक्षित नवाचार चोरी, कोड चोरी, गोपनीयता उल्लंघन और प्रतिष्ठा क्षति, बस कुछ नाम शामिल हैं।
3. रिवर्स इंजीनियरिंग
प्रोग्रामिंग का विचार रिवर्स इंजीनियरिंग के खतरे के लिए कई अनुप्रयोगों को खोलता है। डिबगिंग के लिए कोड में दिए गए मेटाडेटा की स्वस्थ मात्रा एक हमलावर को यह समझने में सहायता करती है कि ऐप कैसे काम करता है।
रिवर्स इंजीनियरिंग का उपयोग यह बताने के लिए किया जा सकता है कि एप्लिकेशन बैक-एंड पर कैसे कार्य करता है, एन्क्रिप्शन एल्गोरिदम प्रकट करता है, स्रोत कोड बदलता है, और बहुत कुछ। आपके अपने कोड का उपयोग आपके विरुद्ध किया जा सकता है और हैकरों के लिए मार्ग प्रशस्त किया जा सकता है।
4. दुर्भावनापूर्ण कोड इंजेक्शन एक्सपोज़र
प्रपत्रों और सामग्री के समान उपयोगकर्ता-जनित सामग्री को अक्सर मोबाइल एप्लिकेशन सुरक्षा के लिए अपेक्षित खतरे के कारण अनदेखा किया जा सकता है।
उदाहरण के लिए हमें लॉगिन संरचना का उपयोग करना चाहिए। जब कोई उपयोगकर्ता अपना उपयोगकर्ता नाम और पासवर्ड इनपुट करता है, तो एप्लिकेशन प्रमाणित करने के लिए सर्वर-साइड डेटा से बात करता है। ऐसे एप्लिकेशन जो यह प्रतिबंधित नहीं करते हैं कि उपयोगकर्ता प्रभावी रूप से किन वर्णों को इनपुट कर सकता है, सर्वर तक पहुंचने के लिए हैकर्स द्वारा कोड इंजेक्ट करने का जोखिम होता है।
यदि कोई दुर्भावनापूर्ण उपयोगकर्ता जावास्क्रिप्ट की एक पंक्ति को लॉगिन संरचना में इनपुट करता है जो समकक्ष चिह्न या कोलन जैसे वर्णों से रक्षा नहीं करता है, तो वे निस्संदेह निजी जानकारी प्राप्त कर सकते हैं।
5. डाटा स्टोरेज
आपके एप्लिकेशन के अंदर कई स्थानों पर असुरक्षित डेटा संग्रहण हो सकता है। यह भी शामिल है SQL डेटाबेस, कुकी भंडार, बाइनरी डेटा स्टोर, और बहुत कुछ।
यदि कोई हैकर किसी डिवाइस या डेटाबेस तक पहुंचता है, तो वे अपनी मशीनों में जानकारी फ़नल करने के लिए प्रामाणिक एप्लिकेशन को बदल सकते हैं।
यहां तक कि आधुनिक एन्क्रिप्शन प्रतिभूतियां भी बेकार हो जाती हैं जब कोई डिवाइस जेलब्रेक या स्थापित हो जाता है, जो हैकर्स को ऑपरेटिंग सिस्टम की सीमाओं को बायपास करने और एन्क्रिप्शन को दरकिनार करने की अनुमति देता है।
आमतौर पर, डेटा, छवियों और कुंजी प्रेस के कैश से निपटने के लिए प्रक्रियाओं की अनुपस्थिति के कारण असुरक्षित डेटा भंडारण होता है।
अपने मोबाइल को सुरक्षित रखने का सबसे प्रभावी तरीका
हैकर्स को नियंत्रण में रखने की लगातार लड़ाई के बावजूद, सुरक्षा सर्वोत्तम प्रथाओं के कुछ सामान्य सूत्र हैं जो बड़ी मोबाइल कंपनियों को सुनिश्चित करते हैं।
मोबाइल एप्लिकेशन सुरक्षा सर्वोत्तम प्रथाएँ
1. सर्वर-साइड प्रमाणीकरण का उपयोग करें
एक आदर्श दुनिया में, मल्टीफैक्टर प्रमाणीकरण अनुरोधों को सर्वर-साइड पर अनुमति दी जाती है और केवल सुलभ प्राधिकरण सफल होता है। यदि आपका एप्लिकेशन उम्मीद करता है कि डेटा क्लाइंट-साइड पर संग्रहीत किया जाएगा और डिवाइस पर पहुंच योग्य होगा, तो सुनिश्चित करें कि एन्क्रिप्टेड डेटा को केवल तभी एक्सेस किया जा सकता है जब क्रेडेंशियल सफलतापूर्वक सत्यापित हो जाएं।
2. क्रिप्टोग्राफी एल्गोरिदम और कुंजी प्रबंधन का उपयोग करें
एन्क्रिप्शन-संबंधी रुकावटों से निपटने की एक रणनीति मोबाइल फ़ोन पर संवेदनशील डेटा संग्रहीत न करने का प्रयास करना है। इसमें हार्ड-कोडित कुंजी और पासवर्ड शामिल हैं जिन्हें सादे पाठ में पहुंच योग्य बनाया जा सकता है या सर्वर तक पहुंचने के लिए हमलावर द्वारा उपयोग किया जा सकता है।
3. सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट जांच मानकों को पूरा करते हैं
आपकी जानकारी अनुमोदन का परीक्षण करते समय हैकर्स तेज़ होते हैं। वे विकृत जानकारी की स्वीकार्यता की किसी भी संभावना के लिए आपके ऐप की जांच करते हैं।
इनपुट सत्यापन यह गारंटी देने की एक पद्धति है कि सामान्य जानकारी को इनपुट फ़ील्ड के माध्यम से भेजा जा सकता है। उदाहरण के लिए, एक छवि अपलोड करते समय, फ़ाइल में एक एक्सटेंशन होना चाहिए जो मानक छवि फ़ाइल एक्सटेंशन से मेल खाता हो और उचित आकार का हो।
4. डेटा की सुरक्षा के लिए खतरा मॉडल बनाएं
थ्रेट मॉडलिंग एक ऐसी तकनीक है जिसका उपयोग उस कठिनाई को गहराई से समझने के लिए किया जाता है जिसे संबोधित किया जा रहा है, जहां समस्याएं मौजूद हो सकती हैं, और उनसे बचाव की प्रक्रियाएं।
एक अच्छी तरह से सूचित खतरा मॉडल टीम को यह देखने की मांग करता है कि अद्वितीय ऑपरेटिंग सिस्टम, प्लेटफ़ॉर्म, फ्रेमवर्क और बाहरी एपीआई अपने डेटा को कैसे स्थानांतरित और संग्रहीत करते हैं। फ़्रेमवर्क के शीर्ष पर विस्तार करना और तृतीय-पक्ष एपीआई से जुड़ना आपको उनकी विफलताओं के लिए भी खोल सकता है।
5. रिवर्स इंजीनियरिंग को रोकने के लिए अस्पष्टता
कई मामलों में, डेवलपर्स के पास स्रोत कोड तक पहुंच के बिना मोबाइल एप्लिकेशन के यूआई की विश्वसनीय प्रतिकृतियां बनाने के लिए आवश्यक क्षमताएं और उपकरण होते हैं। दूसरी ओर, विशिष्ट व्यावसायिक तर्क के लिए काफी अधिक विचारों और प्रयासों की आवश्यकता होती है।
डेवलपर्स अपने कोड को लोगों के लिए अधिक पठनीय बनाने के लिए इंडेंटेशन का उपयोग करते हैं, हालांकि पीसी उचित स्वरूपण के बारे में कम परवाह नहीं कर सकता है। यही कारण है कि मिनिफ़िकेशन, जो सभी रिक्त स्थान को समाप्त कर देता है, कार्यक्षमता बनाए रखता है फिर भी हैकर्स के लिए कोड को समझना कठिन बना देता है।
अधिक दिलचस्प प्रौद्योगिकी ब्लॉगों के लिए, हमारे पर जाएँ वेबसाइट .