У дома Securitywatch 5 Лесни начина, по които разработчиците могат да правят приложения, които не пропускат вашата информация

5 Лесни начина, по които разработчиците могат да правят приложения, които не пропускат вашата информация

Видео: rytp барбоскины без мата VIDEOMEGA RU (Ноември 2024)

Видео: rytp барбоскины без мата VIDEOMEGA RU (Ноември 2024)
Anonim

Когато пишем Mobile Threat понеделник, често ви разказваме за още едно приложение за Android, което изтича личната ви информация навсякъде. Понякога това е заради рекламни платформи на трети страни, интегрирани в приложения, но друг път това са просто обикновени лоши решения, взети от разработчика на приложението. Просто погледнете Starbucks и техния неудобен епизод.

Джаред Блейк, CTO в Moki, седна да ни каже пет прости неща, които разработчиците могат да направят, за да подобрят приложенията си и да избегнат заглавия като Starbucks.

1: Използвайте HTTPS за всичко

Говорейки от личен опит с нашето покритие в понеделник за мобилни заплахи, изглежда, че много разработчици игнорират SSL, когато създават своите приложения. Блейк казва, че това е просто неприемливо. Той каза, че комуникациите трябва "Винаги да се правят в HTTPS. Просто няма добра причина да не го направим."

Осигуряването на комуникация със SSL побеждава редица често срещани атаки, като атаки човек в средата. Ако всичко това ви звучи познато, това е, защото говорим за това непрекъснато. Блейк казва, че разработчиците трябва да възприемат HTTPS, „дори и да се чувствате сякаш сте параноик“.

2: Не се опитвайте да изобретявате собственото си криптиране

Що се отнася до сигурността на данните, разработчиците не трябва да се опитват да изобретяват отново колелото. „Всички основни операционни системи имат криптовалути, сертифицирани по NIST“, каза Блейк. Той каза, че тези вградени библиотеки за криптиране са добре установени и са проверени от експерти, така че разработчиците трябва да се възползват от тях.

Това е важно, тъй като приложенията често съдържат критични потребителски данни като пароли и идентификационни данни за вход. За тази информация простото понятие просто не е достатъчно.

3: Почистете вашите дневници

В случай на Starbucks, разработчиците на приложения неволно разкриха данните за вход и парола на потребителите в лог файловете на приложението. Това не изненада Блейк, който опроверга това, "разработчиците ще хвърлят всичко в дневник."

Но разработчиците трябва внимателно да обмислят каква информация влиза в тези файлове, които помагат да се анализират проблемите с приложението и да се подобрят бъдещите версии.

4: Познайте вашата платформа

Може да изглежда очевидно за потребителите, но Android и iOS са много различни платформи. Блейк казва, че това от своя страна води до различни проблеми със сигурността във всяка платформа. Само защото внимателно обмисляте проблеми със сигурността на Android не означава, че приложението ви ще бъде защитено в iOS.

5: Бъдете наясно с личната информация и вашата публика

Blake креатира много от проблемите, с които се сблъскват разработчиците с идентифицираща лична информация информация, за да има неопитност. Появата на мобилни приложения се появи много бързо и Блейк казва, че много разработчици просто не „мислят за последствията от това, което изграждат“.

Блейк казва, че разработчиците трябва да се запитат дали информацията, която събира приложението им, е нещо, за което потребителите ще се притесняват, ако са изложени. Ако е така, информацията трябва да бъде внимателно защитена - или изобщо да не се събира.

Потребителите трябва да бъдат наясно

Разбира се, потребителите също трябва да бъдат образовани. Те трябва да разберат, че дори информацията, която изглежда светска - като телефонен номер или имейл адрес - може да разкрие много за тях. Те също трябва да разберат как приложенията събират тази информация, която в Android се извършва най-вече чрез разрешения за приложения.

„Не приемайте сляпо тези разрешения“, каза той. „Обмислете ги. Наистина ли искам да дам достъп на приложението до моя заключващ екран? Моите контакти?“

Блейк също спомена, че въпреки че някои злонамерени приложения се прокарват през системата за проверка на Google за магазина Play, това все още е много безопасно място за получаване на вашите приложения. „Трудно ми е да мисля за ситуация, в която някой би разпространил приложение извън Play Store, което бих искал да изтегля“, каза той.

5 Лесни начина, по които разработчиците могат да правят приложения, които не пропускат вашата информация