Видео: Что такое нейрогенез? (Сентябрь 2024)
Когда мы пишем Mobile Threat Monday, мы часто говорим вам об еще одном приложении для Android, которое пропускает вашу личную информацию повсюду. Иногда это происходит из-за сторонних рекламных платформ, интегрированных в приложения, но иногда это просто плохие решения, принятые разработчиком приложения. Просто взгляните на Starbucks и их смущающий эпизод.
Джаред Блейк, технический директор Moki, рассказал нам о пяти простых вещах, которые разработчики могут сделать, чтобы улучшить свои приложения и избежать появления заголовков, таких как Starbucks.
1: использовать HTTPS для всего
Говоря из личного опыта с нашим покрытием Mobile Threat Monday, многие разработчики игнорируют SSL при создании своих приложений. Блейк говорит, что это просто недопустимо. Он сказал, что общение должно быть «всегда должно осуществляться в HTTPS. Просто нет веской причины не делать этого».
Обеспечение безопасности связи с помощью SSL предотвращает ряд распространенных атак, таких как атаки «человек посередине». Если все это звучит знакомо, то это потому, что мы постоянно об этом говорим. Блейк говорит, что разработчики должны принять HTTPS, «даже если вы чувствуете, что вы немного параноик».
2: не пытайтесь изобрести собственное шифрование
Когда дело доходит до защиты данных, разработчики не должны пытаться изобретать велосипед. «Все основные операционные системы имеют крипто-фреймворки, сертифицированные NIST, - сказал Блейк. Он сказал, что эти встроенные библиотеки шифрования хорошо известны и проверены экспертами, поэтому разработчики должны ими воспользоваться.
Это важно, потому что приложения часто содержат важные пользовательские данные, такие как пароли и учетные данные для входа. Для этой информации открытого текста просто недостаточно.
3: очистить ваши журналы
В случае Starbucks разработчики приложения непреднамеренно раскрыли информацию о логине и пароле пользователей в лог-файлах приложения. Это не удивило Блейка, который сказал, что «разработчики будут бросать все в журнал».
Но разработчики должны тщательно обдумать, какая информация попадает в эти файлы, что помогает анализировать проблемы с приложением и улучшать будущие выпуски.
4: Знай свою платформу
Потребителям это может показаться очевидным, но Android и iOS - это очень разные платформы. Блейк говорит, что это, в свою очередь, приводит к различным проблемам безопасности на каждой платформе. То, что вы тщательно рассмотрели проблемы безопасности на Android, не означает, что ваше приложение будет защищено на iOS.
5: будьте в курсе личной информации и вашей аудитории
Блейк рассказывает о многих проблемах, с которыми сталкиваются разработчики персонально идентифицируемой информации, в явной неопытности. Появление мобильных приложений началось очень быстро, и Блейк говорит, что многие разработчики просто не «размышляют над последствиями того, что они создают».
Блейк говорит, что разработчики должны спросить себя, является ли информация, которую собирает их приложение, чем-то, о чем пользователи будут беспокоиться, если она будет раскрыта. Если это так, информация должна быть тщательно защищена или не собрана вообще.
Потребители должны быть осведомлены
Конечно, потребители также должны быть образованными. Они должны понимать, что даже информация, которая кажется обыденной - например, номер телефона или адрес электронной почты - может многое рассказать о них. Они также должны понимать, как приложения собирают эту информацию, что на Android делается главным образом через разрешения приложений.
«Не просто слепо принять эти разрешения», сказал он. «Продумайте их. Действительно ли я хочу предоставить приложению доступ к моему экрану блокировки? Мои контакты?»
Блейк также упомянул, что, хотя некоторые вредоносные приложения проскальзывают через систему проверки Google для магазина Play, это все еще очень безопасное место для получения ваших приложений. «Мне трудно думать о ситуации, когда кто-то будет распространять приложение за пределами Play Store, которое я хочу загрузить», - сказал он.
