Mobilo lietotņu drošība: riski, aizsardzība un labākā prakse

Informatec Digital » Resursi » Mobilo lietotņu drošība: riski, aizsardzība un labākā prakse

Mūsdienās mēs dzīvojam pielipuši pie saviem mobilajiem tālruņiem un to lietotnēm, bet reti apstājamies, lai padomātu par to Kādus riskus mēs uzņemamies katru reizi, instalējot lietotni vai izveidojot savienojumu ar kādu no tām? publiskais Wi-Fi tīklsSākot ar personas datu zādzībām un beidzot ar liela mēroga ļaunprogrammatūras uzbrukumiem, draudi turpina pieaugt tādā pašā tempā kā apritē esošo viedtālruņu skaits.

Ja tālruni izmantojat darbam, piemēram, gestionārs tu dinero Vai arī vienkārši tērzēt un augšupielādēt fotoattēlus, vai jūs interesē tikšanās? Kā aizsargāt ierīci, ko dara iebūvētās drošības sistēmas, piemēram, Google Play Protect, un kāda paraugprakse jums un izstrādātājiem būtu jāievēro.Apskatīsim to mierīgi, bet nerunājot apkārt.

Kāpēc drošība ir tik svarīga mobilajās lietotnēs?

Zvans mobilā drošība Tas ietver visus pasākumus, kas paredzēti, lai aizsargātu jūsu viedtālruni vai planšetdatoru pret tādām problēmām kā datu noplūde, spiegošana, ļaunprogrammatūra, izspiedējvīrusi vai krāpniecība. Runa nav tikai par pretvīrusu programmatūras instalēšanu un tās aizmirstību, bet gan par izpratni, ka mobilās ierīces tagad ir galvenais drošības apdraudējumu avots. liela daļa no mūsu digitālās dzīveskontakti, fotoattēli, akreditācijas dati, banku lietotnes, darbs, atpūta utt.

Pēdējos gados viedtālruņu lietotāju skaits ir strauji pieaudzis, liekot noziedzniekiem koncentrēties uz šīm ierīcēm. Kiberdrošības uzņēmumi ir atklājuši desmitiem miljonu ļaunprogrammatūras, reklāmprogrammatūras un riska programmatūras uzbrukumu mobilajām ierīcēm viena gada laikāar ievērojamu pieaugumu salīdzinājumā ar iepriekšējo gadu. Citiem vārdiem sakot, mobilais vairs nav sekundārs mērķis, tas ir primārais mērķis.

Turklāt tas ir jāpatur prātā Pusaudža personīgā mobilā tālruņa aizsardzība nav tas pats, kas aizsargāt tāda cilvēka korporatīvo ierīci, kurš apstrādā sensitīvus uzņēmuma datus.Tomēr abos gadījumos vājais punkts parasti ir viens un tas pats: nepārbaudītas lietotņu instalācijas, atvērtu Wi-Fi tīklu izmantošana, vājas paroles un maldīga drošības sajūta.

Galvenie riski: ko var nozagt vai sabojāt, izmantojot nedrošu lietotni

Runājot par mobilo lietotņu drošību, mēs nedomājam tikai par klasiskiem vīrusiem. Slikti izstrādāta vai ļaunprātīga lietotne var izraisīt sensitīvas informācijas zādzība, ekonomiski zaudējumi un reputācijas kaitējums gan lietotājiem, gan uzņēmumiem.

Viena no izplatītākajām briesmām ir personas datu un pieteikšanās akreditācijas datu zādzībaMēs runājam par vārdiem, e-pasta adresēm, tālruņu numuriem, platformu un sociālo tīklu parolēm utt. Ar šiem datiem var nozagt identitātes, atvērt jaunus kontus vai iegūt piekļuvi citām lietojumprogrammām, kurās atkārtoti izmantojat paroles.

Vēl viena kritiska fronte ir nozagti finanšu datiPar mērķiem tiek izvēlētas kredītkartes, internetbankas piekļuve, mobilo maksājumu pakalpojumi, kriptovalūtas maki vai e-komercijas lietotnes. Daudzas ļaunprogrammatūras kampaņas koncentrējas tieši uz īsziņu kodu, ekrānu vai veidlapu pārtveršanu no finanšu lietotnēm, lai iztukšotu kontus vai veiktu krāpnieciskus maksājumus.

Uzņēmumu un profesionāļu gadījumā jāņem vērā arī sekojošais: intelektuālā īpašuma zādzībaAvota kods, iekšējie dokumenti, dizaini, biznesa stratēģijas vai klientu informācija, kas tiek glabāta vai kurai var piekļūt no mobilās ierīces. Labi izpildīts uzbrukums korporatīvajai lietotnei dažu minūšu laikā var iznīcināt vairāku gadu darbu.

Mēs nedrīkstam aizmirst reputācijas kaitējumsOficiālas lietotnes (piemēram, bankas, apdrošināšanas kompānijas vai ziņojumapmaiņas pakalpojuma) pārkāpums var graut tūkstošiem vai miljoniem lietotāju uzticību. Bieži vien reputācijas kaitējums un iespējamās normatīvās sankcijas par nepietiekamu datu aizsardzību ir tikpat nopietnas kā pats uzbrukums.

5 iemesli, kāpēc mobilo lietotņu apdraudējumi turpina pieaugt

Uzbrucēji ir iemācījušies izmantot mobilo ekosistēmu. Mūsdienās ir Pieci galvenie faktori, kas veicina uzbrukumu pieaugumu pret lietotnēm instalēta viedtālruņos un planšetdatoros.

Pirmkārt, kibernoziedznieki Viņi paši izmanto lietotņu izplatīšanas platformas.Ar piegādes ķēdes uzbrukumu palīdzību tie var apdraudēt SDK (izstrādes komplektus), ko izmanto populāras, likumīgas lietojumprogrammas. Tādējādi viens incidents bibliotēkā, ko izmanto vairākas lietotnes, var inficēt miljoniem ierīču bez lietotāja ziņas.

Otrais faktors ir nedroša datu glabāšana lietojumprogrammās. Ja sensitīva informācija (tokeni, API atslēgas, personas dati) tiek glabāta bez pienācīgas aizsardzības, to ir daudz vieglāk iegūt, izmantojot reverso inženieriju, root piekļuves ierīces vai ļaunprātīgas lietotnes, kas izmanto piekļuvi koplietotām zonām.

Viņi arī sver komunikācijas ievainojamībasJa lietotne nepareizi šifrē datplūsmu uz serveri vai pieņem nedrošus sertifikātus, uzbrucējs tajā pašā tīklā (piemēram, publiskā Wi-Fi tīklā) var pārtvert un manipulēt ar pārsūtāmajiem datiem, sākot no akreditācijas datiem līdz bankas informācijai.

Iepriekšminētajam pievienoti vēl nepilnīgas autentifikācijas procedūrasLietotnes, kas turpina atļaut vājas paroles, kuras nepielieto bloķēšanu pēc vairākiem neveiksmīgiem mēģinājumiem vai kuras neizmanto biometriskās sistēmas un daudzfaktoru autentifikāciju, atvieglo piekļuvi mobilajam tālrunim ikvienam, kam ir fiziska piekļuve vai nopludināti piekļuves dati.

Visbeidzot, daudzas lietotnes to dara nepareiza datu šifrēšanas izmantošanaViņi izmanto novecojušus algoritmus, nepareizi pārvalda kriptogrāfiskās atslēgas vai vienā vietā jaukt šifrētus un nešifrētus datus, kas paver durvis gan lokāliem, gan attāliem uzbrukumiem informācijas konfidencialitātei.

Google Play Protect: pirmā aizsardzības barjera operētājsistēmā Android

Ierīcēs androidGoogle integrē sistēmu ar nosaukumu Google Play aizsargāt Tas darbojas kā automātisks lietotņu un pašas sistēmas sargs. Lai gan tas neaizstāj labu lietotāja uzvedību vai citus drošības risinājumus, tas nodrošina vērtīgu nepārtrauktas aizsardzības slāni.

Šī sistēma Iepriekš analizējiet pakalpojumā Google Play pieejamās lietotnes. Pirms lejupielādes mēs skenējam, vai nav aizdomīgas vai ļaunprātīgas darbības. Tādā veidā daudzas bīstamas lietotnes tiek bloķētas, pirms tās pat sasniedz lietotāju ierīces, tādējādi samazinot risku jau pašā sākumā.

Turklāt Google Play Protect Periodiski pārskatiet savā mobilajā tālrunī instalēto lietotņu komplektu.Tas ietver lietotnes no avotiem ārpus oficiālā veikala. Viņu terminoloģijā šīs potenciāli kaitīgās lietotnes sauc par ļaunprogrammatūru, un tās var atklāt pat tad, ja tās manuāli instalējāt no APK faila.

Kad sistēma identificē lietotni kā bīstamu, tā var rīkoties vairākos veidos. Tā var parādīt brīdinājumu mudinot jūs to atinstalēt, tas var to atspējot, lai tas pārstātu darboties, līdz jūs to noņemsiet vai pat automātiski izdzēstVairumā gadījumu jūs saņemsiet paziņojumu, kurā būs paskaidrots, kas noticis un kādi pasākumi veikti.

Arī Google Play Protect izstaro Konfidencialitātes brīdinājumi, kad tiek atklātas lietotnes, kas slēpj atbilstošu informāciju vai arī viņi ļaunprātīgi izmanto lietotāju atļaujas, pārkāpjot nevēlamas programmatūras politikas vai izstrādātāju vadlīnijas. Dažās Android versijās tas var pat Atiestatiet atļaujas, kas piešķirtas lietotnēm, kuras reti izmantojat lai samazinātu nevajadzīgu piekļuvi jūsu datiem.

Visbeidzot, šī sistēma var novērst nepārbaudītu lietotņu instalēšanu, kas pieprasa īpaši sensitīvas atļaujas, kuras bieži izmanto finanšu krāpšanaitādējādi bloķējot daudzus krāpnieciskus mēģinājumus, pirms kaitējums materializējas.

Kā pārbaudīt un pielāgot Google Play Protect savā ierīcē

Lai maksimāli izmantotu šo aizsargslāni, ieteicams pārbaudīt, vai viss ir kārtībā. Pirmkārt, jūs varat Pārbaudiet, vai jūsu ierīce ir sertificēta pakalpojumam Play ProtectVienkārši atveriet lietotni Google Play veikals, pieskarieties profila ikonai augšējā labajā stūrī, dodieties uz iestatījumu sadaļu un meklējiet informācijas sadaļu, kur parādīsies sertifikācijas statuss.

Normālos apstākļos Google Play Protect ir iespējots pēc noklusējumaTomēr to ir iespējams manuāli atspējot. Drošības apsvērumu dēļ ir ļoti ieteicams to vienmēr atstāt ieslēgtu. Ja vēlaties pārbaudīt vai mainīt šo iestatījumu, dodieties uz Google Play veikalu, pieskarieties savam profilam, atveriet Play Protect un pēc tam tā iestatījumus, kur varat iespējot vai atspējot lietotņu skenēšanu.

Instalējot lietotnes ārpus oficiālā veikala, sistēma var lūgt atļauju nosūtīt šo nezināmo lietojumprogrammu kopijas uzņēmumam GoogleJa iespējosiet opciju, lai uzlabotu ļaunprātīgas programmatūras noteikšanu, Play Protect automātiski nosūtīs šo lietotņu paraugus uz Google serveriem padziļinātai koda līmeņa analīzei.

Šīs funkcijas pārvaldības process ietver arī Google Play veikals un Play Protect izvēlneIestatījumos atradīsiet slēdzi, lai ieslēgtu vai izslēgtu uzlabotās noteikšanas opciju. Ja esat izstrādātājs, jums, iespējams, būs manuāli jāaugšupielādē katra jaunā lietotnes versija, lai atvieglotu šāda veida analīzi un novērstu kļūdaini pozitīvus rezultātus vai drošības problēmas.

Android versijās no 6.0 līdz 10 Play Protect ietver arī mehānismu, kas paredzēts Automātiski atiestatiet atļaujas lietotnēm, kuras neesat izmantojis trīs mēnešus.Jūs saņemsiet paziņojumus, kad tas notiks, un no pašas Play Protect saskarnes varat doties uz neizmantoto lietotņu atļauju sadaļu, lai pārbaudītu, kas ir atiestatīts.

Ja nevēlaties, lai konkrēta atļauja tiktu automātiski noņemta konkrētā lietotnē, varat to izdarīt Atveriet lietojumprogrammu sarakstu, atlasiet to, kas jūs interesē, un atspējojiet iespēju noņemt atļaujas, kad tās netiek izmantotas.Tomēr, tiklīdz Play Protect būs noņēmis atļaujas, tas tās automātiski nepiešķirs atkārtoti; tas vienkārši pārtrauks traucēt pārējām.

Ko Google dara ar datiem, kas saistīti ar ļaunprogrammatūru?

Lai efektīvi atklātu draudus, Google ir nepieciešama noteikta tehniskā informācija par jūsu ierīci. Cita starpā tā var apkopot Informācija par tīkla savienojumiem, potenciāli bīstamiem URL un instalētajām lietojumprogrammāmneatkarīgi no tā, vai tie ir no Google Play vai citiem avotiem.

Ja lietotne vai tīmekļa saite tiek uzskatīta par nedrošu, jūs varat saņemt brīdinājums, kurā paskaidrots, ka tas var radīt risku ierīcei, jūsu datiem vai jūsu pašu drošībaiNopietnākos gadījumos Google var automātiski noņemt lietojumprogrammu vai bloķēt tās instalēšanu un piekļuvi šim URL, ja ir zināms, ka tā ir kaitīga.

Play Protect bieži iesaka analizēt lietotnes, kas nav pieejamas pakalpojumā Google Play un kas nekad iepriekš nav tikušas novērtētas. Šīs pārbaudes laikā uz Google serveriem tiek nosūtīta tehniskā informācija, kods tiek novērtēts, un pēc neilga laika tiek parādīts rezultāts, kas norāda, vai lietotne šķiet droša vai ir klasificēta kā potenciāli bīstama.

Dažas no šīm funkcijām var atspējot no ierīces iestatījumiem Ja vēlaties ierobežot datu sūtīšanu, pat šādā gadījumā Google joprojām var saņemt pamata telemetrijas datus, kas saistīti ar lietotnēm, kuras lejupielādējat no sava veikala, lai uzturētu ekosistēmas vispārējo drošību.

Ierīces sertifikācija un kļūda “Ierīce nav sertificēta”

Ir svarīgi skaidri saprast, ka Google Play Protect un ierīču sertifikācija ir dažādas lietasIespējams, ka pakalpojumā Play Protect viss šķiet pareizi, taču joprojām tiek rādīts brīdinājums, ka ierīce nav sertificēta pakalpojumam Google Play.

Ja ziņojums “Ierīce nav sertificēta“Mēģinājumi to labot, mainot Play Protect iestatījumus, nepalīdzēs. Tā vietā jums vajadzētu pieskarties pogai, kas norāda uz problēmu ar jūsu ierīci, un izpildīt norādījumus.” norādījumi, ko Google sniedz ekrānā lai pabeigtu termināļa verifikācijas vai legalizācijas procesu.

Ja nevarat atrast šo opciju, varat atvērt lietotni Google Play, pieskarties savam profila attēlam, doties uz iestatījumiem, pēc tam uz informācijas sadaļu un ritiniet līdz Play Protect sertifikācijas laukam, kur tiek parādīts gan statuss, gan iespēja labot iespējamās kļūdas, kā arī papildu dokumentācija par visbiežāk sastopamajiem cēloņiem un risinājumiem.

Visizplatītākie mobilo ierīču apdraudējumu veidi

Papildus konfigurācijas kļūdām, lielākais mobilo ierīču drošības ienaidnieks ir... dažādas ļaunprogrammatūras saimes un sociālās inženierijas metodes kas mēģina iekļūt mūsu ierīcēs. Lai sevi pienācīgi aizstāvētu, ir lietderīgi atpazīt galvenās kategorijas.

Viens no biežākajiem ir adwareŠī programmatūra agresīvi rāda reklāmas un daudzos gadījumos kalpo kā vārti nopietnākiem draudiem. Dažās nesenās analīzēs vairāk nekā 40% mobilajās ierīcēs atklāto draudu ietilpst šajā kategorijā, kas sniedz priekšstatu par to tvērumu.

Bažas rada arī datu noplūdes, izmantojot ļaunprātīgas atļaujas lietotnēsīpaši tās, kas tiek piedāvātas kā bezmaksas. Dažas apkopo vairāk informācijas nekā nepieciešams komerciāliem nolūkiem vai pat lai to pārdotu trešajām personām. Izmaiņas operētājsistēmās, piemēram, lietotņu izsekošanas pārredzamība, kas ieviesta 2016. gadā. iOSViņi ir mēģinājuši ierobežot šo praksi, pieprasot skaidrāku piekrišanu.

Vēl viens plaši izmantots vektors ir publiski vai slikti konfigurēti Wi-Fi tīkliTā kā tie nav šifrēti vai ir vāji šifrēti, tie ļauj uzbrucējam, kas ir izveidojis savienojumu ar to pašu tīklu, pārtvert datus pārsūtīšanas laikā, manipulēt ar datplūsmu vai pat izveidot viltotus piekļuves punktus, kas simulē likumīgus tīklus, lai nozagtu akreditācijas datus un aktīvās sesijas.

Klasika pikšķerēšanas uzbrukumi Tie ir pielāgojušies arī mobilajai pasaulei. E-pasti, īsziņas vai ziņojumi ziņojumapmaiņas lietotnēs, kas atdarina bankas, ziņojumapmaiņas pakalpojumus vai labi pazīstamas platformas, ir paredzēti, lai jūs apmānītu ievadīt savus pieteikšanās datus viltotās vietnēs vai lejupielādētu ļaunprātīgus pielikumus, kas jūsu ierīcē instalēs ļaunprogrammatūru.

Visslēptākās spiegošanas jomā mēs atrodam spiegprogrammatūra un stalkerprogrammatūraIzsekošanas lietotnes var ierakstīt jūsu atrašanās vietu, ziņojumus vai zvanus bez jūsu ziņas. Šāda veida programmatūra nesenās analīzēs ir atklāta desmitiem tūkstošu ierīču, ietekmējot gan ļaunprātīgas kontroles upurus, gan lietotājus, pret kuriem vērstas darbības viņu profesionālā amata dēļ.

Vispārējā lietussargā mobilā ļaunprogrammatūra Banku Trojas zirgi, izspiedējvīrusi, kas šifrē jūsu failus un pieprasa izpirkuma maksu, un rīki, kas pārtver verifikācijas kodus vai zog failus un akreditācijas datus, ir izplatīti iekļūšanas punkti. Iekļūšanas vektors parasti ir aizdomīga saite, lietotne, kas lejupielādēta no ārpus oficiāliem lietotņu veikaliem, vai ļaunprātīgs pielikums, kas atvērts bez verifikācijas.

Visbeidzot, mums jāpiemin uzbrukumi, ko veica Kiberterorisms un kiberspiegošana, kas vērsta pret augsta ranga amatpersonām, lielu uzņēmumu darbiniekiem vai valsts ierēdņiemŠādos gadījumos personīgie vai korporatīvie mobilie tālruņi kļūst par vārtiem uz kritiski svarīgiem tīkliem un lielu apjomu stratēģiskas informācijas.

Lietotāju pamatprakse: kā aizsargāt mobilo tālruni un lietotnes

Drošības tehnoloģijas palīdz, taču visu atšķir jūsu uzvedība. Ir vairāki labas prakses ka jebkuram lietotājam vajadzētu pieteikties

Pirmā lieta ir vienmēr uzturiet operētājsistēmu atjauninātuKatrā jaunā Android vai iOS versijā ir iekļauti drošības ielāpi, kas novērš atklātās ievainojamības. Ja atjauninājumus atliksiet uz nenoteiktu laiku, ierīce būs pakļauta trūkumiem, kurus uzbrucēji jau ir izmantojuši.

Tas ir arī ļoti ieteicams Izslēdziet attālo savienojumu, kad tas nav nepieciešamsBluetooth, AirDrop, Wi-Fi vai personīgie tīklāji. Publiskās vietās, jo mazāka ir jūsu ierīces uzbrukuma virsma, jo labāk. Tas samazina neatļautu savienojumu vai ļaunprātīga satura sūtīšanas mēģinājumu iespējamību.

Instalējot jaunas lietotnes, pierodiet pie rūpīgi pārskatiet atļaujas, ko viņi pieprasaPajautājiet sev, vai lukturīša lietotnei tiešām ir nepieciešama piekļuve jūsu kontaktiem vai arī spēlei pastāvīgi ir nepieciešama jūsu atrašanās vieta. Ja atrodat nepazīstamu lietotni, kuras instalēšanu neatceraties, nekavējoties izdzēsiet to.

Vēl viens galvenais padoms ir Lejupielādējiet lietotnes tikai no oficiālajiem veikaliem. piemēram, Google Play, App Store vai atzītās krātuvēs jūsu reģionā. Šajos veikalos pievērsiet uzmanību atsauksmēm, lejupielāžu skaitam, izstrādātājam un citām viņa lietotnēm. Dažas atsauksmes, kas visas ir perfektas, vai labi pazīstams vārds ar ļoti nelielu instalāciju skaitu ir brīdinošas pazīmes.

Lai bloķētu savu ierīci, izmantojiet šādas iespējas: Biometriskā piekļuve: pirkstu nospiedumu vai sejas atpazīšanaApvienojot to ar spēcīgu PIN kodu vai paroli, personai, kas nozog vai atrod jūsu tālruni, ir daudz grūtāk tieši piekļūt jūsu datiem un lietotnēm.

Visbeidzot, atcerieties Aktivizējiet divfaktoru autentifikāciju (2FA) svarīgos pakalpojumosKad vien iespējams, īsziņu vietā izmantojiet autentifikācijas lietotnes, jo tās ir mazāk neaizsargātas pret noteikta veida uzbrukumiem. Paroļu pārvaldnieks var palīdzēt jums izveidot atšķirīgas un sarežģītas paroles katram pakalpojumam, neiegaumējot tās visas.

Lietotnes, kas palīdz uzlabot drošību un privātumu

Papildus operētājsistēmas iebūvētajām funkcijām ir arī daudzas citas. lietojumprogrammas, kas īpaši izstrādātas drošības un privātuma uzlabošanai jūsu mobilajā ierīcē. Ir noderīgi zināt galvenos veidus un to piedāvājumus.

L mobilo ierīču antivīrusu, ļaunprogrammatūru un izspiedējvīrusu apkarošanas Tie ir pirmā aizsardzības līnija pret ļaunprogrammatūru. Tie reāllaikā analizē lietotnes, lejupielādētos failus un sistēmas darbību, lai atklātu aizdomīgus modeļus, pirms kaitējums kļūst neatgriezenisks. Uzticams risinājums pievieno papildu aizsardzību Play Protect vai līdzīgiem vietējiem mehānismiem.

the pretaizdzīšanas un ierīču atrašanās vietas noteikšanas lietojumprogrammas Tie izmanto GPS, lai parādītu tālruņa atrašanās vietu, ja tas tiek pazaudēts vai nozagts. Daži ļauj ieslēgt modinātāju, parādīt ziņojumus ekrānā, bloķēt ierīci vai attālināti dzēst datus. Tomēr ir svarīgi piešķirt piekļuvi atrašanās vietai tikai uzticamām lietotnēm un periodiski pārskatīt šīs atļaujas.

Tādi rīki kā lietotņu bloķētāji Tie ļauj aizsargāt piekļuvi noteiktām lietotnēm ar papildu PIN kodu, shēmu vai pirkstu nospiedumu. Tādā veidā, pat ja kāds var atbloķēt jūsu tālruni, viņš nevarēs viegli piekļūt jūsu e-pastam, sociālajiem tīkliem vai ziņojumapmaiņas lietotnēm bez šī otrā drošības slāņa.

L paroļu pārvaldnieki Tie glabā jūsu akreditācijas datus šifrētā veidā, ļaujot jums izveidot garas un sarežģītas paroles, tās neatceroties. Daudzi automātiski ģenerē jaunas paroles, brīdina, ja kāda no tām ir apdraudēta, un droši sinhronizē informāciju starp ierīcēm, kas ir īpaši noderīgi, ja mobilo tālruni izmantojat darbam.

the divpakāpju verifikācijas lietojumprogrammas Daudzfaktoru autentifikācija ģenerē vienreizējus kodus, kas stiprina piekļuvi jūsu svarīgākajiem kontiem. Apvienojumā ar labu ieradumu regulāri mainīt paroles tas ievērojami apgrūtina ikvienam, kam izdodas nozagt vai iegādāties jūsu akreditācijas datus tumšajā tīmeklī.

Navigācijas jomā pastāv uz privātumu vērstas pārlūkprogrammas un lietotnes Šie rīki bloķē izsekotājus, filtrē ļaunprātīgus URL, samazina uzmācīgas reklāmas un apgrūtina trešajām pusēm detalizēta jūsu tiešsaistes paradumu profila izveidi. Tie papildina reklāmu bloķētājus un pikšķerēšanas detektorus, pievienojot papildu aizsardzības slāņus aizdomīgām vietnēm.

Visbeidzot, dažas organizācijas piedāvā visaptverošas ierīču drošības analīzes lietojumprogrammas Šie rīki pārskata jūsu iestatījumus, nosaka ļaunprātīgas vai riskantas lietotnes un iesaka izmaiņas, lai uzlabotu aizsardzību. Tie ir īpaši noderīgi, ja neesat pārliecināts par sistēmas drošības iestatījumiem.

Konkrēta labākā prakse mobilo lietotņu izstrādātājiem

Atbildība par mobilo ierīču drošību nav tikai lietotāju ziņā. Izstrādātājiem ir galvenā loma risku mazināšanā jau no paša projektēšanas posma. lietojumprogrammu. OWASP fonds savā MASVS standartā apkopo virkni prasību un labākās prakses piemēru, kas ir vērts paturēt prātā.

Viens kritisks aspekts ir droši glabājiet sensitīvus datus un novērsiet informācijas noplūdesLietotnes bieži apstrādā personas informāciju, sesijas žetonus, API atslēgas vai akreditācijas datus. Visam tam ir jābūt pienācīgi aizsargātam neatkarīgi no tā, vai tas tiek glabāts iekšējā atmiņā vai vietās, kur var piekļūt citas lietotnes.

Ieteicams lietot arī spēcīgi kriptogrāfiski mehānismi sensitīvu datu šifrēšanai un pareizi pārvaldīt atslēgas visā to dzīves ciklā: ģenerēšana, glabāšana, rotācija un atsaukšana. Slikti pārvaldīta spēcīga kriptogrāfija var būt gandrīz tikpat bīstama kā nekā nešifrēšana vispār.

Piekļuves kontroles sadaļā ieteicams ieviest spēcīgi autentifikācijas un autorizācijas protokoliTas ir īpaši svarīgi lietojumprogrammās, kas izveido savienojumu ar attāliem pakalpojumiem vai veic sensitīvas darbības. Ieteicams atdalīt sākotnējo autentifikāciju no papildu mehānismiem augsta riska darbībām, piemēram, pieprasot daudzfaktoru autentifikāciju noteiktām transakcijām.

Saziņai starp lietotni un tās galapunktiem jābūt aizsargātai ar droši protokoli, piemēram, TLS un stingra sertifikātu validācijaTurklāt ieteicams izvairīties no trešo pušu bibliotēkām, kas vājina šo aizsardzību, piemēram, atļaujot pašparakstītus sertifikātus bez atbilstošas ​​kontroles vai ignorējot validācijas kļūdas.

Vēl viens svarīgs aspekts ir lietotnes veids mijiedarbojas ar mobilo platformuIPC mehānismi, WebViews, grafiskā saskarne, ekrānuzņēmumi utt. Šo elementu slikta pārvaldība var izraisīt kritiski svarīgu datu noplūdi, iekšējo funkciju ļaunprātīgu izmantošanu vai informācijas noplūdi, izmantojot pārklājuma metodes un citus izplatītus ļaunprogrammatūras trikus.

Visbeidzot, drošas izstrādes labā prakse ietver Vienmēr dezinficējiet un pārbaudiet ienākošos datusIzmantojiet tikai komponentus bez zināmām ievainojamībām, ieviesiet obligātus atjaunināšanas mehānismus, kad tiek izlaisti kritiski ielāpi, un ierobežojiet atbalstu operētājsistēmu versijām, kas vairs nesaņem drošības labojumus.

Atļauju kontrole, lietotāju privātums un drošības auditi

Papildus tīri tehniskajiem aspektiem izstrādātājiem ļoti nopietni jāuztver personas datu aizsardzība un atbilstība normatīvajiem aktiemTādi noteikumi kā Eiropas GDPR nosaka stingras saistības, kas tieši ietekmē lietotņu izstrādi un darbību.

Laba pamatprakse ir Samaziniet lietotnes piekļuvi sensitīviem datiem un resursiem.Pieprasiet tikai tās atļaujas, kas ir būtiskas lietotnes pareizai darbībai, izvairoties no pieprasījumiem piekļūt kontaktiem, atrašanās vietai vai kamerai, ja vien tas nav absolūti nepieciešams.

Ieteicams arī pieteikties datu anonimizācijas vai pseidonimizācijas metodeslai uzglabātā vai pārsūtītā informācija samazinātu iespēju tieši identificēt lietotāju. Tas palīdz mazināt potenciāla drošības incidenta ietekmi.

Caurspīdīgums ir galvenais: lietotājam ir jābūt skaidrai izpratnei kādu informāciju lietotne apkopo, kādam mērķim un cik ilgiTurklāt jums ir jāspēj pārvaldīt, modificēt un dzēst savus datus, kā arī viegli mainīt savas privātuma preferences, izmantojot pašā lietojumprogrammā pieejamās opcijas.

Lai pastiprinātu šos pasākumus, ir ļoti noderīgi periodiski pakļaut lietojumprogrammas drošības auditiemŠajās pārskatos kiberdrošības speciālisti veic statiskus un dinamiskus testus, lai identificētu datu glabāšanas, autentifikācijas mehānismu, WebViews izmantošanas vai tīkla savienojumu ievainojamības.

Iegūtajos ziņojumos parasti ir iekļauts praktiski ieteikumi konstatēto trūkumu novēršanaiprioritāri piešķirot tiem, kas rada lielāku risku. Šāda veida auditu iekļaušana izstrādes dzīves ciklā ir viens no labākajiem veidiem, kā nodrošināt, lai laba prakse nepaliktu tikai uz papīra.

Galu galā, apvienojot tādas sistēmas kā Google Play Protect, specializētas drošības lietotnes, labu lietotāja praksi un atbildīga attīstība, ko atbalsta tādi standarti kā OWASP standarti Tas ir visefektīvākais veids, kā izbaudīt mobilo lietotņu priekšrocības, nepārvēršot viedtālruni par pastāvīgām galvassāpēm.