Video: Kako do aplikacij na pametnih telefonih Huawei? (Oktober 2024)
Ko v ponedeljek pišemo o mobilni grožnji, vam pogosto govorimo o še eni aplikaciji za Android, ki povsod pušča vaše osebne podatke. Včasih je to zato, ker so v aplikacije vgrajene oglaševalske platforme drugih proizvajalcev, včasih pa gre za navadne slabe odločitve, ki jih je sprejel razvijalec aplikacije. Oglejte si Starbucks in njihovo nerodno epizodo.
Jared Blake, CTO v Mokiju, se je usedel in nam povedal pet preprostih stvari, ki jih lahko razvijejo razvijalci, da izboljšajo svoje aplikacije in se izognejo ustvarjanju naslovov, kot so Starbucks.
1: Uporabite HTTPS za vse
Ko govorimo iz osebnih izkušenj s pokritjem ponedeljka Mobile Threat, se zdi, da mnogi razvijalci pri ustvarjanju svojih aplikacij ignorirajo SSL. Blake pravi, da je to preprosto nesprejemljivo. Dejal je, da bi morale biti komunikacije "Vedno opravljeno v HTTPS. Ni nobenega dobrega razloga, da se ne."
Zavarovanje komunikacije s SSL premaga številne pogoste napade, kot so napadi človek v sredini. Če se vse to sliši znano, je to, ker o tem ves čas govorimo. Blake pravi, da morajo razvijalci sprejeti HTTPS, "čeprav se vam zdi, da ste nekoliko paranoični."
2: Ne poskušajte izumiti lastne šifriranja
Ko gre za varovanje podatkov, razvijalci ne bi smeli poskušati znova izumiti kolesa. "Vsi glavni operacijski sistemi imajo kriptovalute z NIST, " je dejal Blake. Dejal je, da so te vgrajene šifrirne knjižnice dobro uveljavljene in so jih preverili strokovnjaki, zato bi jih morali razvijalci izkoristiti.
To je pomembno, ker aplikacije pogosto hranijo kritične uporabniške podatke, kot so gesla in poverilnice za prijavo. Za te informacije preprosto besedilo preprosto ni dovolj.
3: Očistite dnevnike
V primeru programa Starbucks so razvijalci aplikacij nenamerno razkrili podatke o prijavi in geslu uporabnikov v dnevniških datotekah aplikacije. To ni presenetilo Blakea, ki je to razveljavil, "da bodo razvijalci karkoli vrgli v dnevnik."
Toda razvijalci morajo skrbno razmisliti, katere informacije segajo v te datoteke, ki pomagajo analizirati težave z aplikacijo in izboljšati prihodnje izdaje.
4: Spoznajte svojo platformo
Za potrošnike se morda zdi očitno, vendar sta Android in iOS zelo različni platformi. Blake pravi, da to posledično vodi do različnih varnostnih vprašanj v vsaki platformi. Ker ste natančno preučili varnostne težave v sistemu Android, še ne pomeni, da bo vaša aplikacija varna v iOS-u.
5: Bodite pozorni na osebne podatke in svojo publiko
Blake predstavlja veliko težav, s katerimi se razvijalci srečujejo z osebno prepoznavnimi informacijami, in sicer zaradi neizkušenosti. Pojav mobilnih aplikacij se je začel zelo hitro in Blake pravi, da mnogi razvijalci preprosto ne »razmišljajo o posledicah tega, kar gradijo«.
Blake pravi, da se morajo razvijalci vprašati, ali bodo uporabniki skrbeli, če bodo informacije, ki jih zbira njihova aplikacija, zaskrbljene, če so izpostavljene. V tem primeru je treba podatke skrbno varovati - ali jih sploh ne zbirati.
Potrošniki se morajo zavedati
Seveda se morajo tudi potrošniki izobraževati. Razumeti morajo, da tudi informacije, ki se zdijo lažne - na primer telefonska številka ali e-poštni naslov - o njih lahko razkrijejo veliko. Prav tako morajo razumeti, kako aplikacije zbirajo te informacije, kar v Androidu poteka večinoma prek dovoljenj za aplikacije.
"Ne sprejemajte samo dovoljenja slepo, " je dejal. "Premislite jih. Ali res želim omogočiti dostop aplikaciji do mojega zaklepnega zaslona? Moji stiki?"
Blake je še omenil, da čeprav nekatere zlonamerne aplikacije zdrsnejo prek Googlovega sistema preverjanja za trgovino Play, je še vedno zelo varen kraj za pridobivanje vaših aplikacij. "Težko sem si zamisliti situacijo, ko bi nekdo razširil aplikacijo zunaj Trgovine Play, ki bi jo želel prenesti, " je dejal.
