Sekureco de aplikaĵo ne estas funkcio nek avantaĝo, kiun vi aldonas al via poŝtelefona aplikaĵo. Se vi estas kompanio pri evoluiga programo por poŝtelefonoj, vi devas protekti datumojn de uzantoj - fino de la rakonto. Ne estas se kaj sed al ĝi, kaj ne estas kompromiso se vi volas certigi, ke klientoj fidas vian markon. Ĉu ĝi estas por iOS, Android aŭ ajna alia movebla OS, estas grave kovri la vundeblecojn de via programo. Vi volus malhelpi amasan hakon, kiu povas rezultigi perdon de klientoj kaj profiton.
Jen kiel vi povas protekti uzantajn datumojn en via poŝtelefono kaj kiel vi povas fari ĝin.
1. Sekurigu vian kodon
Estas multaj vundeblecoj en moveblaj programoj, kaj la plej multaj el tiuj venas de nesekura kodo. Ĉi tiuj problemoj kun hakoj kutime venas de detaloj lasitaj en la kodo, verŝajne de aŭ tranĉitaj funkcioj aŭ malpura kodo, kiu enhavas multajn konfliktajn programajn stilojn. Dum publikigado de poŝtelefono, estas grave uzi sekuran, striktan kaj taŭge kontrolitan kodon. Cimoj kaj vundeblecoj estas la plej kutimaj deirpunktoj por atakantoj por haki aŭ pirati vian apon.
Ili verŝajne klopodos por provi inversigi kiel funkcias via kodo kaj uzi ĝin al sia avantaĝo. Komencu per taŭga kodformatado, uzante taŭgan indentaĵon kaj la akcepteblan nombron da argumentoj en viaj funkcioj. Sekvu kodigajn plej bonajn praktikojn, inkluzive de signifaj nomkonvencioj, pli malgrandaj klasoj kaj simpla aliro al funkcioj. Sekvu la regulojn de la lingvo, kiun vi uzas, ĉu Python aŭ Java.
2. Uzu plurfaktoran aŭtentikigon
Homoj elektas fidindan programiston de moveblaj programoj, kiu ne nur havas bonan, funkcian apon sed ankaŭ sekuran. Se vi serĉas sekurigi vian poŝtelefonan apon, ĉefe se ĝi uzas pagprocesorojn, la plej bona maniero fari ĝin estas devigi fortan aŭtentikigon. Malsamaj poŝtelefonaj programoj uzas diversajn aŭtentigajn procezojn por devigi sekurajn ensalutojn kaj transdoni datumojn sen ke hakistoj flaru informojn.
Plurfaktora aŭtentikigo estas nepra, ĉefe se la app stokas klientajn financajn datumojn kaj identigon. Enkorpigu almenaŭ dufaktoran aŭtentikigon por via programo, kiu povas esti agordita por konfirmi la identecon de la uzanto periode. Pasvortoj estas en ordo, sed fingrospura aŭtentigo ankaŭ povas esti helpema. Kombini ĝin kun la aparato ID, klientatestiloj kaj OTP povas helpi vin redukti la riskon de neaŭtorizita aliro.
Koncerne al transdono de datumoj, plej bone estas aldoni sekuran ĉifradan tavolon al klientdatenoj. Plej multaj poŝtelefonoj tenas klientajn informojn for de aplikaĵoj, stokante ilin en Secure Enclave por iOS kaj TrustZone/Knox por Android OS markoj. Certigu konservi nulon financajn informojn klient-flanko por malhelpi datumojn flaradon.
3. Ĉifri vian apon kaj datumojn
Poŝtelefonoj estas malfermitaj al diversaj minacoj, kun problemoj kiel viro-en-la-meza atakoj kiuj malimplikas vundeblecojn en WiFi kaj moveblaj retoj. Ni tuŝis la bezonon de ĉifrado, sed ankaŭ estas kerna por poŝtelefonaj programoj transdoni siajn datumojn en ĉifritaj retoj. Certigu, ke vi ĉifras viajn moveblajn programojn kaj servilojn per la taŭgaj protektaj tavoloj. Vi volas minimumon de SSL kaj TLS-ĉifrado, kun pluraj niveloj de ĉifrika komplekseco.
Plej multaj kompanioj elektas aŭ RSA-4096-ĉifradon aŭ AES-256, ofertante altkvalitan kriptografan protekton. SHA-3-normo povas malhelpi multajn atakojn, kiuj povas komenciĝi ĉe radiknivela aliro por pasvortoj kaj enkonstruitaj sistemoj. Ĉi tio miksos la datumojn ene de via datumbazo, kun nur unu maniero deĉifri klientajn informojn de via flanko.
4. Estu bone informita pri nunaj moveblaj vundeblecoj
Android kaj iOS havas siajn proprajn vundeblecojn, kaj neniam estas tempo kie homoj ne trovas ekspluatojn sur ili. Vundeblecoj kiel Stagefright, XcodeGhost, ForcedEntry kaj eĉ la baza trojano ankoraŭ povas eniri vian moveblan aparaton. Se vi estas movebla programisto, estas grave konservi vin ĝisdatigita kun la plej novaj sekurecaj minacoj kaj certigi, ke via aplikaĵo ofertas konsekvencan protekton.
Necesas labori kun via aplikaĵo kun la ĝisdatigoj de la flikiloj de la poŝtelefonaj operaciumoj kaj korektoj de cimoj por malhelpi malutilajn problemojn. Balau vian moveblan apon por eblaj kodaj problemoj, kiuj povas esti ekspluatitaj per ĉi tiuj moveblaj vundeblecoj. Ĝisdatigu vian kodon tuj, precipe se vi trovas eblajn konektojn inter OS-vundeblecoj kaj via movebla programo.
5. Gardu vin de triaj bibliotekoj
Triaj bibliotekoj estas facile uzeblaj kaj povas doni al programistoj multe pli facilan tempon sen konstrui ilin mem. Ekzistas ankaŭ tunoj da senpagaj bibliotekoj en deponejoj kiel Github, kiuj simpligas kiel vi nomas certajn funkciojn. Atentu tiajn bibliotekojn dum vi malfermas vian apon al eblaj sekurecaj difektoj. Duobligu vian zorgon kiam temas pri triaj bibliotekoj. Provu la kodon ĝisfunde antaŭ ol uzi ĝin en via programo kaj rigardu malsamajn ripetojn de la biblioteko.
Eĉ multaj el la plej grandaj kodigaj bibliotekoj havas sekurecajn difektojn post kiam ili estas ĝuste reviziitaj, aŭ nova afero aperas. Uzu plurajn internajn deponejojn de regiloj kaj eĉ politikajn kontrolojn por protekti viajn programojn kontraŭ eblaj vundeblecoj en ĉi tiuj bibliotekoj. Ĉi tiuj politikoj helpos apartigi la datumtavolon de bibliotekoj, kiuj povas provi aliri kaj ekspluati ĉi tiujn riskojn.
6. Kontrolu kundividon de datumoj inter aplikaĵoj
Estas enorma potencialo por flarado de datumoj por programistoj, kiuj volas dividi datumojn inter du aŭ pli da programoj ene de sia familio. La datumtransiro povas esti problema, precipe se piratoj inversigas kiel vi faras ĝin kaj ili vidas, ke ĝi estas lasita nesekurigita. Dum dividado de datumoj inter aplikaĵoj, kiujn vi kontrolas, subskrib-bazitaj permesoj povas helpi malhelpi nenecesan enmiksiĝon. Ĉi tiuj permesoj ne bezonas intervenon de la uzanto, konservante la funkciojn de la programoj. Ili anstataŭe kontrolas, ke la aplikaĵoj alirantaj la datumojn portas la saman aplikan subskribon kaj subskriban ŝlosilon.
Subskribo-bazitaj permesoj permesas simpligitan interŝanĝon de datumoj kaj sekuran sperton de uzanto. Ĝi malhelpas la bezonon de la uzanto transdoni aliron al danĝeraj permesoj, kiuj povas malimpliki la apon al problemoj. Supozu, ke vi celas plenumi pli bonajn, pli sekurajn komunikadojn. En tiu kazo, vi povas aldoni plurajn funkciojn kiel eksplicite montri aplikan elektilon kaj peti sekurecajn akreditaĵojn antaŭ ol aliaj programoj povas aliri sentemajn informojn.
malsupra linio
Sekurigi vian poŝtelefonan apon estas demando pri sekvado de plej bonaj praktikoj por malhelpi vundeblecojn kaj ekspluatojn influi viajn aplikajn funkciojn. Komencu per fortika, sekura kodo, kiu sekvas profesiajn kodigajn praktikojn kaj eksplicitajn funkciovokojn. Uzu ĉifradon al via avantaĝo, ĉefe se vi pritraktas sentemajn informojn. Sekvu la paŝojn en ĉi tiu gvidilo, kaj vi efektive havos fidindan, sekuran moveblan apon sendepende de ĉu vi estas en iOS aŭ Android. Faru QA kaj QC laŭbezone kaj estu iniciatema kun protektado de via poŝtelefona aplikaĵo kontraŭ eventualaj minacoj.