Vun Accès op de Mikrofon, d'Kamera, an d'Location vun engem Benotzer säin Apparat, fir iwwerzeegend Applikatiounsklonen ze bauen, ginn et vill Systemer Programméierer benotze fir Zougang zu, an auszenotzen, perséinlech Donnéeën vun unsuspektéierende mobilen App Benotzer.
Déi folgend sinn e puer wichteg mobil Applikatioun Sécherheetsbedrohungen déi Dir wësse sollt.
1. Mangel u Multifactor Authentifikatioun
Déi meescht vun eis sinn net zefridden mat deemselwechten onséchere Passwuert iwwer verschidde Konten ze benotzen. Betruecht elo d'Zuel vun de Benotzer déi Dir hutt. Egal ob d'Passwuert vum Benotzer duerch eng Paus an enger anerer Organisatioun kompromittéiert gouf, Programméierer testen dacks Passwierder op aner Uwendungen, wat zu engem Attack op Är Organisatioun féieren kann.
Multi-Factor Authentifikatioun, déi dacks zwee vun den dräi potenziellen Elementer vun der Bestätegung benotzt, hänkt net ganz vum Benotzerpasswuert of ier d'Identitéit vum Benotzer assuréiert. Dës extra Schicht vun der Authentifikatioun kann d'Äntwert op eng perséinlech Ufro sinn, en SMS Bestätegungscode fir ze enthalen oder biometresch Authentifikatioun (Fangerofdrock, Netzhaut, a sou weider).
2. Echec Verschlësselung richteg
Verschlësselung ass de Wee fir d'Informatioun an en onverschlësselleche Code ze maachen, deen am léifsten just sichtbar ass nodeems se mat dem geheime Schlëssel zréck iwwersat gouf. Als esou ännert d'Verschlësselung d'Sequenz vun engem Kombinatiounsschloss, awer sidd virsiichteg, Programméierer si qualifizéiert fir Spären ze wielen.
Wéi Symantec uginn, 13.4% vun de Keefer Apparater an 10.5% vun grouss Betriber Apparater hunn net Verschlësselung aktivéiert. Dëst implizéiert datt wann Programméierer Zougang zu dësen Apparater kréien, perséinlech Informatioun am Kloertext zougänglech ass.
Leider sinn d'Softwarefirmen déi Verschlësselung benotzen net immun géint e Feeler. D'Entwéckler si mënschlech a maache Feeler déi Programméierer kënne mëssbrauchen. Wat d'Verschlësselung ugeet, ass et wichteg ze bewäerten wéi einfach et ka sinn de Code vun Ärer Applikatioun ze knacken.
Dës gemeinsam Sécherheet Schwachstelle kann sérieux Resultater hunn dorënner geschützt Innovatioun Déifstall, Code Déifstall, Privatsphär Violatioune, a Ruff Schued, just fir e puer ze nennen.
3. Ëmgedréint Engineering
D'Iddi vum Programméiere mécht vill Uwendungen op fir d'Drohung vu Reverse Engineering. Déi gesond Betrag u Metadaten, déi am Code fir Debugging uginn ass, hëlleft och en Ugräifer ze verstoen wéi eng App funktionnéiert.
Reverse Engineering ka benotzt ginn fir z'entdecken wéi d'Applikatioun um Back-End funktionnéiert, Verschlësselungsalgorithmen opzeweisen, de Quellcode z'änneren, a méi. Ären eegene Code kann géint Iech benotzt ginn an e Wee fir Hacker.
4. Béiswëlleg Code Sprëtz Beliichtung
User-generéiert Inhalt, ähnlech wéi Formen an Inhalter, kann dacks ignoréiert ginn fir seng erwaart Bedrohung fir mobil Applikatiounssécherheet.
Mir sollten zum Beispill d'Loginstruktur benotzen. Wann e Benotzer säi Benotzernumm a Passwuert agitt, schwätzt d'Applikatioun mat Server-Säit Daten fir ze authentifizéieren. Uwendungen déi net beschränken wéi eng Charaktere e Benotzer effektiv aginn kann, riskéieren datt Hacker Code injizéieren fir op de Server ze kommen.
Wann e béiswëlleg Benotzer eng Zeil vu JavaScript an eng Loginstruktur agitt, déi net géint Charaktere wéi dat gläichwäertegt Schëld oder Colon schützt, kënne se ouni Zweifel op privat Informatioun kommen.
5. Datenspeicher
Onsécher Datelagerung kann op ville Plazen an Ärer Applikatioun optrieden. Dëst beinhalt SQL Datenbanken, Cookie Geschäfter, binär Dategeschäfter, a méi.
Wann en Hacker op en Apparat oder Datebank zougräift, kënne se d'authentesch Applikatioun änneren fir Informatioun op hir Maschinnen ze trennen.
Och modern Verschlësselungssécherheete ginn nëtzlos geliwwert wann en Apparat jailbroken oder etabléiert ass, wat Hacker erlaabt d'Betriebssystembeschränkungen ëmzegoen an d'Verschlësselung ëmzegoen.
Normalerweis gëtt onsécher Datelagerung duerch e Fehlen vu Prozesser gefouert fir mam Cache vun Daten, Biller a Tastepressen ze këmmeren.
Déi effektivst Method fir Ären Handy ze schützen
Onofhängeg vun der konsequent Schluecht fir Hacker ënner Kontroll ze halen, ginn et e puer gemeinsame Threads vu Sécherheetsbestëmmegkeeten, déi déi grouss Mobile Firmen garantéieren.
Mobile Applikatioun Sécherheet beschte Praktiken
1. Benotzen Server-Säit Authentifikatioun
An enger perfekter Welt sinn Multifactor Authentifikatiounsufroen op der Serversäit erlaabt a just zougänglech Autorisatioun ass erfollegräich. Wann Är Applikatioun erwaart datt Daten op der Client-Säit gespäichert ginn an um Apparat zougänglech sinn, gitt sécher datt déi verschlësselte Donnéeën nëmmen zougänglech sinn wann d'Umeldungsinformatiounen erfollegräich validéiert sinn.
2. Benotzt Cryptography Algorithmen a Key Management
Eng Strategie fir d'Verschlësselungsverbonne Pausen ze bekämpfen ass ze probéieren net sensibel Donnéeën op engem Handy ze späicheren. Dëst beinhalt schwéier kodéiert Schlësselen a Passwierder, déi am Kloertext zougänglech gemaach kënne ginn oder vun engem Ugräifer benotzt ginn fir op de Server ze kommen.
3. Sécherstellen, datt all Benotzer Input Check Standarden treffen
Hacker si schaarf wann Dir Är Informatiounsgenehmegung testen. Si sichen Är App fir all Potenzial fir d'Unerkennung vu verzerrten Informatioun.
Input Validatioun ass eng Methodik fir ze garantéieren datt just Informatioun déi normal ass duerch en Inputfeld gaang ass. Beim Eroplueden vun engem Bild, zum Beispill, sollt d'Datei eng Extensioun hunn, déi mat Standard Bilddateierverlängerungen entsprécht a soll vernünfteg Gréisst sinn.
4. Baut Bedrohungsmodeller fir Daten ze verteidegen
Threat Modeling ass eng Technik déi benotzt gëtt fir d'Schwieregkeet déi behandelt gëtt déif ze verstoen, wou Themen existéiere kënnen, a Prozedure fir se ze schützen.
E gutt informéiert Bedrohungsmodell erfuerdert d'Team ze gesinn wéi eenzegaarteg Betribssystemer, Plattformen, Kaderen an extern APIen hir Daten transferéieren an späicheren. Ausdehnen uewen op Kaderen a Verbindung mat Drëtt Partei APIen kann Iech och op hir Feeler opmaachen.
5. Obfuscate Fir Reverse Engineering ze verhënneren
A ville Fäll hunn d'Entwéckler déi wesentlech Fäegkeeten an Tools fir iwwerzeegend Repliken vun der UI vun enger mobiler Applikatioun ze bauen ouni Zougang zum Quellcode ze kréien. Exklusiv Geschäftslogik erfuerdert dann erëm wesentlech méi Iddien an Efforten.
D'Entwéckler benotzen d'Indentatioun fir hire Code méi liesbar fir d'Leit ze maachen, obwuel de PC net manner ëm déi richteg Formatéierung këmmert. Dëst ass de Grond Minifikatioun, déi all Plazen eliminéiert, d'Funktionalitéit behält, awer et mécht et méi schwéier fir Hacker de Code ze verstoen.
Fir méi interessant Technologie Blogs, besicht eis Websäit.