माइक्रोफोन, क्यामेरा, र प्रयोगकर्ताको यन्त्रको स्थानमा पहुँच गर्नदेखि लिएर विश्वस्त एप्लिकेसन क्लोनहरू निर्माण गर्न, त्यहाँ धेरै प्रणाली प्रोग्रामरहरू पहुँच गर्न र शोषण गर्न प्रयोग गर्ने मोबाइल एप प्रयोगकर्ताहरूको व्यक्तिगत डेटाहरू छन्।
निम्न केही महत्त्वपूर्ण मोबाइल अनुप्रयोग सुरक्षा खतराहरू छन् जुन तपाईंले जान्नुपर्छ।
1. बहुपक्षीय प्रमाणीकरणको अभाव
हामी मध्ये धेरैजसो धेरै खाताहरूमा एउटै असुरक्षित पासवर्ड प्रयोग गरेर सन्तुष्ट छैनौं। अब तपाईसँग भएका प्रयोगकर्ताहरूको संख्यालाई विचार गर्नुहोस्। प्रयोगकर्ताको पासवर्ड फरक संगठनमा ब्रेक मार्फत सम्झौता भएको भए तापनि, प्रोग्रामरहरूले बारम्बार अन्य अनुप्रयोगहरूमा पासवर्डहरू परीक्षण गर्छन्, जसले तपाईंको संगठनमा आक्रमण गर्न सक्छ।
बहु-कारक प्रमाणीकरण, प्रायः पुष्टिका तीन सम्भावित तत्वहरू मध्ये दुई प्रयोग गरी, प्रयोगकर्ताको पहिचान सुनिश्चित गर्नु अघि प्रयोगकर्ताको पासवर्डमा पूर्ण रूपमा निर्भर हुँदैन। प्रमाणीकरणको यो अतिरिक्त तह व्यक्तिगत सोधपुछको प्रतिक्रिया, समावेश गर्नको लागि एक SMS पुष्टिकरण कोड, वा बायोमेट्रिक प्रमाणीकरण (औंठाछाप, रेटिना, र यस्तै) हुन सक्छ।
2. ठीकसँग इन्क्रिप्ट गर्न असफल
गुप्तिकरण भनेको गुप्त कुञ्जी प्रयोग गरेर अनुवाद गरिसकेपछि मात्र हेर्न मिल्ने एउटा अस्पष्ट कोडमा जानकारी प्रदान गर्ने तरिका हो। जस्तै, एन्क्रिप्शनले संयोजन लकको अनुक्रम परिवर्तन गर्दछ, तथापि, सावधान रहनुहोस्, प्रोग्रामरहरू तालाहरू छनोट गर्न कुशल छन्।
Symantec द्वारा संकेत गरे अनुसार, 13.4% क्रेता उपकरणहरू र 10.5% ठूला उद्यम उपकरणहरूमा इन्क्रिप्सन सक्षम छैन। यसले संकेत गर्दछ कि यदि प्रोग्रामरहरूले ती उपकरणहरू पहुँच गर्छन् भने, व्यक्तिगत जानकारी सादा पाठमा पहुँचयोग्य हुनेछ।
दुर्भाग्यवश, एन्क्रिप्शन प्रयोग गर्ने सफ्टवेयर कम्पनीहरू गल्तीबाट मुक्त छैनन्। विकासकर्ताहरू मानव हुन् र प्रोग्रामरहरूले दुरुपयोग गर्न सक्ने त्रुटिहरू गर्छन्। ईन्क्रिप्शनको सन्दर्भमा, तपाइँको अनुप्रयोगको कोड क्र्याक गर्न कत्तिको सरल हुन सक्छ भनेर मूल्याङ्कन गर्न महत्त्वपूर्ण छ।
यो साझा सुरक्षा जोखिमले सुरक्षित नवाचार चोरी, कोड चोरी, गोपनीयता उल्लङ्घन, र प्रतिष्ठाको क्षति सहित गम्भीर परिणामहरू हुन सक्छ, केही नाम मात्र।
3. रिभर्स इन्जिनियरिङ्
प्रोग्रामिङको विचारले रिभर्स इन्जिनियरिङको खतरामा धेरै अनुप्रयोगहरू खोल्छ। डिबगिङको लागि कोडमा दिइएको मेटाडेटाको स्वस्थ मात्राले पनि आक्रमणकारीलाई एपले कसरी काम गर्छ भनेर बुझ्न मद्दत गर्छ।
रिभर्स इन्जिनियरिङलाई ब्याक-एन्डमा एप्लिकेसनले कसरी काम गर्छ, इन्क्रिप्शन एल्गोरिदमहरू प्रकट गर्न, स्रोत कोड परिवर्तन गर्न र थप कुराहरू प्रकट गर्न प्रयोग गर्न सकिन्छ। तपाईंको आफ्नै कोड तपाईंको विरुद्ध प्रयोग गर्न सकिन्छ र ह्याकरहरूको लागि मार्ग प्रशस्त गर्न सकिन्छ।
4. खराब कोड इंजेक्शन एक्सपोजर
प्रयोगकर्ता-उत्पन्न सामग्री, फारम र सामग्रीहरू जस्तै, मोबाइल अनुप्रयोग सुरक्षाको लागि अपेक्षित खतराको लागि प्रायः बेवास्ता गर्न सकिन्छ।
हामीले उदाहरणका लागि लगइन संरचना प्रयोग गर्नुपर्छ। जब प्रयोगकर्ताले आफ्नो प्रयोगकर्ता नाम र पासवर्ड इनपुट गर्दछ, अनुप्रयोगले प्रमाणीकरण गर्न सर्भर-साइड डाटासँग बोल्छ। प्रयोगकर्ताले प्रभावकारी रूपमा इनपुट गर्न सक्ने क्यारेक्टरहरू प्रतिबन्धित नगर्ने एपहरूले सर्भर पहुँच गर्न ह्याकरहरूले कोड इन्जेक्सन गर्ने जोखिमलाई चलाउँछन्।
यदि कुनै मालिसियस प्रयोगकर्ताले लगइन संरचनामा JavaScript को लाइन इनपुट गर्छ जसले समान चिन्ह वा बृहदान्त्र जस्ता क्यारेक्टरहरूबाट जोगाउँदैन, तिनीहरू निस्सन्देह निजी जानकारी प्राप्त गर्न सक्छन्।
१.. डाटा भण्डारण
असुरक्षित डाटा भण्डारण तपाईंको अनुप्रयोग भित्र धेरै ठाउँहरूमा हुन सक्छ। यसमा समावेश छ SQL डाटाबेस, कुकी स्टोरहरू, बाइनरी डाटा स्टोरहरू, र थप।
यदि ह्याकरले कुनै उपकरण वा डाटाबेस पहुँच गर्छ भने, तिनीहरूले आफ्नो मेसिनमा जानकारी फनेल गर्न प्रामाणिक अनुप्रयोग परिवर्तन गर्न सक्छन्।
आधुनिक इन्क्रिप्शन सेक्युरिटीहरू पनि बेकार डेलिभर हुन्छन् जब उपकरण जेलब्रोक वा स्थापित हुन्छ, जसले ह्याकरहरूलाई अपरेटिङ सिस्टम सीमितताहरू बाइपास गर्न र इन्क्रिप्शनलाई रोक्न अनुमति दिन्छ।
सामान्यतया, असुरक्षित डाटा भण्डारण डाटा, छविहरू, र कुञ्जी प्रेसहरूको क्याससँग सम्झौता गर्न प्रक्रियाहरूको अभावले ल्याइएको हो।
आफ्नो मोबाइल सुरक्षित गर्न सबैभन्दा प्रभावकारी तरिका
ह्याकरहरूलाई नियन्त्रणमा राख्नको लागि निरन्तर लडाइँ भए तापनि, ठूला मोबाइल कम्पनीहरूलाई सुनिश्चित गर्ने सुरक्षा उत्तम अभ्यासहरूका केही सामान्य थ्रेडहरू छन्।
मोबाइल अनुप्रयोग सुरक्षा उत्तम अभ्यासहरू
1. सर्भर-साइड प्रमाणीकरण प्रयोग गर्नुहोस्
एक उत्तम संसारमा, सर्भर-साइडमा बहुपक्षीय प्रमाणीकरण अनुरोधहरूलाई अनुमति दिइन्छ र केवल पहुँचयोग्य प्राधिकरण सफल छ। यदि तपाईंको एप्लिकेसनले क्लाइन्ट-साइडमा डाटा भण्डारण र यन्त्रमा पहुँचयोग्य हुने अपेक्षा गर्दछ भने, पत्यारपत्रहरू सफलतापूर्वक प्रमाणीकरण भएपछि मात्र इन्क्रिप्टेड डाटा पहुँच गर्न सकिन्छ भनेर सुनिश्चित गर्नुहोस्।
2. क्रिप्टोग्राफी एल्गोरिदम र कुञ्जी व्यवस्थापन प्रयोग गर्नुहोस्
एन्क्रिप्शन-सम्बन्धित ब्रेकहरू रोक्नको लागि एउटा रणनीति भनेको मोबाइल फोनमा संवेदनशील डाटा भण्डारण नगर्ने प्रयास गर्नु हो। यसमा हार्ड-कोड गरिएका कुञ्जीहरू र पासवर्डहरू समावेश छन् जुन सादा पाठमा पहुँचयोग्य बनाउन सकिन्छ वा आक्रमणकर्ताद्वारा सर्भर पहुँच गर्न प्रयोग गरिन्छ।
3. सुनिश्चित गर्नुहोस् कि सबै प्रयोगकर्ता इनपुटहरू जाँच मानकहरू पूरा गर्छन्
तपाईंको जानकारी अनुमोदन परीक्षण गर्दा ह्याकरहरू तीखो हुन्छन्। तिनीहरूले विकृत जानकारीको स्वीकृतिको लागि कुनै पनि सम्भाव्यताको लागि तपाईंको एपलाई स्काउर गर्छन्।
इनपुट प्रमाणीकरण भनेको सामान्य जानकारीको ग्यारेन्टी गर्ने विधि हो जुन इनपुट फिल्ड मार्फत जान सकिन्छ। छवि अपलोड गर्दा, उदाहरणका लागि, फाइलमा मानक छवि फाइल एक्सटेन्सनहरूसँग मेल खाने विस्तार हुनुपर्छ र उचित आकारको हुनुपर्छ।
4. डेटाको रक्षा गर्न खतरा मोडेलहरू निर्माण गर्नुहोस्
थ्रेट मोडलिङ एउटा प्रविधि हो जसलाई सम्बोधन गरिँदैछ, जहाँ समस्याहरू अवस्थित हुन सक्छन्, र ती विरुद्ध सुरक्षा गर्ने प्रक्रियाहरू गहिरो रूपमा बुझ्न प्रयोग गरिन्छ।
एक राम्ररी सूचित खतरा मोडेलले टोलीलाई कसरी अद्वितीय अपरेटिङ सिस्टम, प्लेटफर्म, फ्रेमवर्क, र बाह्य API ले तिनीहरूको डेटा स्थानान्तरण र भण्डारण गर्छ भनेर हेर्न माग गर्दछ। फ्रेमवर्कको शीर्षमा विस्तार गर्न र तेस्रो-पक्ष एपीआईहरूसँग जडान गर्नाले तपाईंलाई तिनीहरूको असफलताहरूमा पनि खोल्न सक्छ।
5. रिभर्स इन्जिनियरिङ रोक्न अस्पष्ट
धेरै अवस्थामा, विकासकर्ताहरूसँग स्रोत कोड पहुँच नगरी मोबाइल अनुप्रयोगको UI को विश्वस्त प्रतिकृतिहरू निर्माण गर्न आवश्यक क्षमताहरू र उपकरणहरू हुन्छन्। विशेष व्यापार तर्क, त्यसपछि फेरि, महत्त्वपूर्ण रूपमा थप विचार र प्रयासहरू आवश्यक छ।
विकासकर्ताहरूले आफ्नो कोडलाई मानिसहरूलाई थप पढ्न योग्य बनाउन इन्डेन्टेसनको प्रयोग गर्छन्, यद्यपि PC ले उचित ढाँचाको बारेमा कम ध्यान दिन सकेन। यो कारणले गर्दा मिनिफिकेसन, जसले सबै ठाउँहरू हटाउँछ, कार्यक्षमता कायम राख्छ तर ह्याकरहरूलाई कोड बुझ्न गाह्रो बनाउँछ।
थप रोचक टेक्नोलोजी ब्लगहरूको लागि, हाम्रो भ्रमण गर्नुहोस् वेबसाइट.