Микрофон, камер, хэрэглэгчийн төхөөрөмжийн байршилд хандахаас эхлээд итгэл үнэмшилтэй хэрэглээний клон бүтээх хүртэл олон тооны программистууд гар утасны апп хэрэглэгчдийн хувийн мэдээлэлд хандах, ашиглах зорилгоор ашигладаг.

Дараах нь таны мэдэх ёстой гар утасны програмын аюулгүй байдлын зарим чухал аюулууд юм.

 

1. Multifactor Authentication дутмаг

Бидний ихэнх нь нэг нууц үгээ олон бүртгэлээр ашиглахдаа сэтгэл хангалуун бус байдаг. Одоо танд байгаа хэрэглэгчдийн тоог анхаарч үзээрэй. Хэрэглэгчийн нууц үг өөр байгууллагын завсарлагааны улмаас алдагдсан эсэхээс үл хамааран программистууд нууц үгийг бусад программууд дээр байнга туршиж үздэг бөгөөд энэ нь танай байгууллагад халдлагад хүргэж болзошгүй юм.

Баталгаажуулах гурван боломжит элементийн хоёрыг байнга ашигладаг олон хүчин зүйлийн нэвтрэлт танилт нь хэрэглэгчийн хувийн мэдээллийг баталгаажуулахаас өмнө хэрэглэгчийн нууц үгээс бүрэн хамаардаггүй. Баталгаажуулалтын энэхүү нэмэлт давхарга нь хувийн лавлагааны хариу, оруулах SMS баталгаажуулах код эсвэл биометрийн баталгаажуулалт (хурууны хээ, торлог бүрхэвч гэх мэт) байж болно.

 

2. Зөв шифрлэж чадаагүй

Шифрлэлт гэдэг нь мэдээллийг нууц түлхүүрээр орчуулсны дараа шууд үзэх боломжтой, шифрлэгдэх боломжгүй код болгон хувиргах арга юм. Иймээс шифрлэлт нь хосолсон түгжээний дарааллыг өөрчилдөг боловч болгоомжтой байгаарай, програмистууд цоож сонгохдоо чадварлаг байдаг.

Symantec-ийн мэдээлснээр, худалдан авагчдын 13.4%, томоохон аж ахуйн нэгжийн төхөөрөмжүүдийн 10.5% нь шифрлэлтийг идэвхжүүлээгүй байна. Энэ нь хэрэв програмистууд тэдгээр төхөөрөмжид хандвал хувийн мэдээлэлд энгийн текст хэлбэрээр хандах боломжтой болно гэсэн үг юм.

Харамсалтай нь шифрлэлт ашигладаг програм хангамжийн компаниуд алдаа гаргахаас хамгаалдаггүй. Хөгжүүлэгчид бол хүн бөгөөд програмистууд буруугаар ашиглаж болох алдаа гаргадаг. Шифрлэлтийн тухайд, таны програмын кодыг эвдэх нь хэр хялбар болохыг үнэлэх нь чухал юм.

Энэхүү нийтлэг аюулгүй байдлын эмзэг байдал нь хамгаалагдсан инновацийн хулгай, код хулгайлах, хувийн нууцыг зөрчих, нэр хүндэд хохирол учруулах зэрэг ноцтой үр дагаварт хүргэж болзошгүй.

 

3. Урвуу инженерчлэл

Програмчлалын санаа нь урвуу инженерчлэлийн аюулд олон тооны програмуудыг нээж өгдөг. Дибаг хийхэд зориулагдсан кодонд өгсөн мета өгөгдлийн эрүүл хэмжээ нь халдагчид програм хэрхэн ажилладагийг ойлгоход тусалдаг.

Урвуу инженерчлэлийг ашиглан програм нь арын хэсэгт хэрхэн ажилладаг, шифрлэлтийн алгоритмуудыг илчлэх, эх кодыг өөрчлөх гэх мэт олон зүйлийг хийх боломжтой. Таны өөрийн кодыг таны эсрэг ашиглаж, хакеруудын замыг нээж болно.

 

4. Хортой код тарилгад өртөх

Хэрэглэгчийн үүсгэсэн хэлбэр, агуулгатай төстэй контент нь мобайл програмын аюулгүй байдалд заналхийлж болзошгүй тул үл тоомсорлодог.

Жишээлбэл, бид нэвтрэх бүтцийг ашиглах ёстой. Хэрэглэгч өөрийн хэрэглэгчийн нэр, нууц үгээ оруулах үед програм нь сервер талын өгөгдөлтэй ярьж баталгаажуулдаг. Хэрэглэгч ямар тэмдэгтүүдийг үр дүнтэй оруулахыг хязгаарладаггүй програмууд нь хакерууд серверт нэвтрэхийн тулд код оруулах эрсдэлтэй байдаг.

Хэрэв хортой хэрэглэгч JavaScript-ийн мөрийг нэвтрэх бүтцэд оруулбал түүнтэй адилтгах тэмдэг, хоёр цэг зэрэг тэмдэгтүүдээс хамгаалагдахгүй бол тэд хувийн мэдээлэл рүү орох нь дамжиггүй.

 

5. Мэдээлэл хадгалах

Аюулгүй мэдээлэл хадгалалт нь таны програмын олон газарт тохиолдож болно. Үүнд орно SQL мэдээллийн сан, жигнэмэгийн дэлгүүрүүд, хоёртын мэдээллийн сангууд гэх мэт.

Хэрэв хакер төхөөрөмж эсвэл өгөгдлийн санд хандвал жинхэнэ программыг өөрчилж, мэдээллийг өөрийн машин руу шилжүүлж болно.

Орчин үеийн шифрлэлтийн үнэт цааснууд ч гэсэн төхөөрөмжийг хакердсан эсвэл суурилуулсан үед ашиггүй хүргэгддэг бөгөөд энэ нь хакеруудад үйлдлийн системийн хязгаарлалтыг давж, шифрлэлтийг тойрч гарах боломжийг олгодог.

Өгөгдөл, зураг, товчлуур дарах кэштэй ажиллах процесс байхгүйгээс найдвартай мэдээлэл хадгалагдах нь ихэвчлэн үүсдэг.

 

Гар утсаа хамгаалах хамгийн үр дүнтэй арга

Хакеруудыг хяналтандаа байлгах тууштай тэмцлээс үл хамааран томоохон гар утасны компаниудад аюулгүй байдлын шилдэг туршлагуудын нийтлэг ойлголтууд байдаг.

 

Мобайл програмын аюулгүй байдлын шилдэг туршлагууд

 

1. Сервер талын баталгаажуулалтыг ашиглах

Төгс ертөнцөд олон хүчин зүйлийн баталгаажуулалтын хүсэлтийг сервер талд зөвшөөрдөг бөгөөд зүгээр л нэвтрэх боломжтой зөвшөөрөл амжилттай болдог. Хэрэв таны аппликешн өгөгдлийг үйлчлүүлэгчийн талд хадгалж, төхөөрөмжид хандах боломжтой гэж бодож байгаа бол итгэмжлэлийг амжилттай баталгаажуулсны дараа л шифрлэгдсэн өгөгдөлд хандах боломжтой эсэхийг шалгаарай.

 

2. Криптографийн алгоритм ба түлхүүрийн менежментийг ашиглах

Шифрлэлттэй холбоотой эвдрэлийг арилгах нэг стратеги бол гар утсан дээр нууц мэдээллийг хадгалахгүй байхыг хичээх явдал юм. Үүнд энгийн текстээр хандах боломжтой эсвэл халдагчид серверт хандахын тулд ашиглаж болох хатуу кодлогдсон түлхүүрүүд болон нууц үгүүд орно.

 

3. Хэрэглэгчийн бүх оролт шалгалтын стандартад нийцэж байгаа эсэхийг шалгаарай

Хакерууд таны мэдээллийн зөвшөөрлийг шалгахдаа хурц байдаг. Тэд таны аппликейшнийг гажуудуулсан мэдээллийг хүлээн зөвшөөрөх боломжтой эсэхийг шалгадаг.

Оролтын баталгаажуулалт нь зөвхөн хэвийн мэдээллийг оролтын талбараар дамжуулж болно гэдгийг баталгаажуулах аргачлал юм. Жишээлбэл, зураг байршуулахдаа файл нь стандарт зургийн файлын өргөтгөлтэй тохирох өргөтгөлтэй байх ёстой бөгөөд боломжийн хэмжээтэй байх ёстой.

 

4. Өгөгдлийг хамгаалах аюулын загварыг бий болгох

Аюул заналхийллийн загварчлал нь шийдвэрлэх гэж буй бэрхшээл, хаана ямар асуудал гарч болзошгүй, түүнээс хамгаалах журмыг гүнзгий ойлгоход ашигладаг арга юм.

Сайн мэдээлэлтэй аюул заналхийллийн загвар нь өвөрмөц үйлдлийн систем, платформ, хүрээ, гадаад API-ууд өөрсдийн өгөгдлийг хэрхэн дамжуулж, хадгалж байгааг харахыг багаас шаарддаг. Хүрээний дээд талд өргөжин тэлж, гуравдагч талын API-уудтай холбогдох нь таныг тэдний бүтэлгүйтэлд хүргэж болзошгүй юм.

 

5. Урвуу инженерчлэлээс урьдчилан сэргийлэхийн тулд бүдгэрүүлэх

Ихэнх тохиолдолд хөгжүүлэгчид эх код руу нэвтрэхгүйгээр гар утасны програмын UI-ийн итгэл үнэмшилтэй хуулбарыг бүтээх чухал чадвар, хэрэгсэлтэй байдаг. Бизнесийн онцгой логик нь дахин илүү их санаа, хүчин чармайлт шаарддаг.

Хөгжүүлэгчид кодыг хүмүүст илүү унших боломжтой болгохын тулд догол мөрийг ашигладаг боловч компьютер зөв форматлах талаар огт санаа зовдоггүй байв. Энэ нь бүх орон зайг багасгаж, функциональ байдлыг хадгалахын зэрэгцээ хакеруудад кодыг ойлгоход хэцүү болгодог шалтгаан юм.

Илүү сонирхолтой технологийн блогуудыг үзэхийг хүсвэл манайхаар зочилно уу вэб сайт.