Video: Derivaatan sovellustehtävät (Lokakuu 2024)
Kun kirjoitamme Mobile Threat maanantai, kerromme usein sinulle vielä yhdestä Android-sovelluksesta, joka vuotaa henkilökohtaisia tietojasi kaikkialla. Joskus se johtuu sovelluksiin integroiduista kolmansien osapuolten mainontaalustoista, mutta toisinaan se on vain sovelluksen kehittäjän tekemiä huonoja päätöksiä. Katsokaa vain Starbucksia ja heidän kiusallista jaksoaan.
Jared Blake, Mokin teknologiajohtaja, istui kertoakseen meille viisi yksinkertaista asiaa, joita kehittäjät voivat tehdä parantaakseen sovelluksiaan ja välttääkseen Starbucksin kaltaisten otsikoiden tekemistä.
1: Käytä HTTPS: ää kaikessa
Ottaen huomioon henkilökohtaisista kokemuksistamme Mobile Threat Monday -kampanjamme kanssa, monet kehittäjät näyttävät ohittavan SSL: n sovelluksia luotaessa. Blake sanoo, että sitä ei voida hyväksyä. Hän sanoi, että viestinnän tulisi "aina tapahtua HTTPS: ssä. Ei ole mitään syytä olla tekemättä sitä."
Viestinnän turvaaminen SSL: llä kukistaa useita yleisiä hyökkäyksiä, kuten ihmisen keskellä -hyökkäykset. Jos tämä kaikki kuulostaa tutulta, se johtuu siitä, että puhumme siitä jatkuvasti. Blake sanoo, että kehittäjien on omaksuttava HTTPS ", vaikka sinusta tuntuukin olevan hieman vainoharhainen".
2: Älä yritä keksiä omaa salausta
Tietoturvan kannalta kehittäjien ei pitäisi yrittää keksimään pyörää uudelleen. "Kaikilla tärkeimmillä käyttöjärjestelmillä on NIST-sertifioidut salauskehykset", Blake sanoi. Hän sanoi, että nämä sisäänrakennetut salauskirjastot ovat vakiintuneita ja asiantuntijoiden tarkastamat, joten kehittäjien tulisi hyödyntää niitä.
Tämä on tärkeää, koska sovelluksissa on usein kriittisiä käyttäjätietoja, kuten salasanoja ja kirjautumistietoja. Näihin tietoihin pelkkä teksti ei yksinkertaisesti riitä.
3: Siivoa lokit
Starbucksin tapauksessa sovelluskehittäjät paljastivat käyttäjän vahingossa käyttäjän kirjautumistiedot ja salasanat sovelluksen lokitiedostoihin. Tämä ei yllättänyt Blakeä, joka sanoi, että "kehittäjät heittävät mitä tahansa lokiin".
Kehittäjien on kuitenkin harkittava huolellisesti, mitä tietoja näihin tiedostoihin sisältyy, mikä auttaa analysoimaan sovelluksen ongelmia ja parantamaan tulevia julkaisuja.
4: Tunne alustaasi
Kuluttajalta saattaa vaikuttaa itsestään selvältä, mutta Android ja iOS ovat hyvin erilaisia alustoja. Blake sanoo, että tämä puolestaan johtaa erilaisiin turvallisuuskysymyksiin kussakin ympäristössä. Se, että olet harkinnut huolellisesti Androidin tietoturvaongelmia, ei tarkoita, että sovelluksesi olisi suojattu iOS: lla.
5: Ole tietoinen henkilökohtaisista tiedoista ja yleisöstäsi
Blake haastaa monia asioita, joita kehittäjät kohtaavat henkilökohtaisesti tunnistettavilla tiedoilla pelkän kokemattomuuden vuoksi. Mobiilisovellusten tulo on tapahtunut erittäin nopeasti, ja Blake sanoo, että monet kehittäjät eivät yksinkertaisesti "ajattele rakentamisensa seurauksia".
Blake sanoo, että kehittäjien on kysyttävä itseltään, ovatko heidän sovelluksensa keräämät tiedot käyttäjien huolissaan, jos ne paljastetaan. Jos näin on, tiedot on turvattava huolellisesti - tai niitä ei kerätä ollenkaan.
Kuluttajien on oltava tietoisia
Tietysti myös kuluttajia on koulutettava. Heidän on ymmärrettävä, että jopa arkipäivän tuntuvat tiedot - kuten puhelinnumero tai sähköpostiosoite - voivat paljastaa niistä paljon. Heidän on myös ymmärrettävä, kuinka sovellukset keräävät tietoja, mikä Androidille tehdään pääasiassa sovellusluvilla.
"Älä vain sokeasti hyväksy näitä luvat", hän sanoi. "Ajattele niitä. Haluanko todella antaa sovellukselle pääsyn lukitusnäyttöön? Yhteystietoni?"
Blake mainitsi myös, että vaikka jotkut haitalliset sovellukset liukuvat Googlen Play-kaupan tarkistusjärjestelmän läpi, se on silti erittäin turvallinen paikka hankkia sovelluksiasi. "Minua on vaikea ajatella tilanteesta, jossa joku levittäisi sovelluksen Play Kaupan ulkopuolelle, jonka haluaisin ladata", hän sanoi.
