Незалежно від того, користуєтесь ви Android або iOS, ви скоріш за все, використовуєте десятки мобільних додатків із відповідних магазинів цих платформ. Хоча більшість додатків відповідають правилам безпеки Google або Apple, багато з них створені незалежними розробниками та невеликими стартапами. На жаль, мобільні додатки сповнені потенційними ризиками кібербезпеки для вашого пристрою.
Нещодавній звіт Auth0 показав, що 85% сучасних мобільних додатків незахищені, а в 2020 році на 37% зросла кількість мобільних фішингових атак. Це викликає занепокоєння, особливо тому, що багато підлітків та літніх людей користуються смартфонами, не замислюючись над завантаженням цікавих програм. Однак ви можете захистити свій смартфон, дотримуючись деяких основних рекомендацій, які можуть обмежити потенційну шкоду, що може завдати мобільний додаток.
Повне використання обраної вами платформи
Операційні системи Android та iOS мають відповідні рекомендації щодо належного використання API для розробки додатків. Якщо ви розробник додатків, важливо дотримуватись цих рекомендацій, якщо ви хочете мінімізувати вразливості кібербезпеки свого мобільного додатка.
Ці рекомендації стосуються введення даних користувачами, дозволів під час виконання, взаємодії між процесами (IPC) та правильного використання ключів. Дотримання всіх чотирьох пунктів значно знизить вразливість вашого додатка та гарантує, що кінцеві користувачі не стануть жертвами кібератак через ваш додаток.
Впровадження безпечного зберігання даних
Люди, які користуються вашим мобільним додатком, можуть в будь-який момент змінити свій телефон або втратити його, що викличе занепокоєння щодо конфіденційності даних. Дуже важливо зберігати дані користувача (журналів входу, введення даних користувачами, даних про використання тощо) на захищеному сервері.
Ви повинні прагнути щоб ваш мобільний додаток був здатен захистити дані свого початкового користувача від фізичного чи шкідливого вторгнення. Ви можете зробити крок далі та запровадити обов’язкове прийняття політики конфіденційності даних на початку роботи з мобільним додатком задля прозорості.
Конфіденційність комунікацій
Якщо у вашому додатку є функції соціальної взаємодії або спілкування в будь-якій формі, він є дуже вразливий до кібер-вторгнень. Viber ̶ хороший приклад безпечної комунікаційної платформи з одноранговим шифруванням ̶ функція, яку багато хто шукає, враховуючи недавні проблеми конфіденційності даних Facebook.
Впровадьте у свій додаток протоколи шифрованого спілкування та розгляньте можливість використання сертифікації для свого мобільного додатка. Це значно покращить конфіденційність зв’язку вашого додатка та приверне увагу нових користувачів.
Роль криптографії
Для підвищення безпеки у вашому мобільному додатку за замовчуванням можна використовувати різні типи криптографічних кодів. В той час як обов'язкова аутентифікація за відбитками пальців може бути обмежена використовуваними пристроями, криптографічне шифрування, таке як двофакторна аутентифікація, є приємним доповненням.
Це особливо цінне доповнення, якщо ваш мобільний додаток призначений для електронної комерції або містить варіанти грошових транзакцій, схильних до шахрайства. Дотримуйтесь рекомендацій Android та iOS, щоб реалізувати метод криптографічного шифрування, який не заважатиме вашим користувачам, але при цьому захистить їхні дані.
На замітку (Висновок)
Крім офіційних ресурсів, є й інші рекомендації, які ви можете розглядати як базові для свого мобільного додатка. Mobile Security Testing Guide (MSTG) ̶ чудовий приклад такого ресурсу, і ви можете використовувати його для покращення безпеки свого мобільного додатка на інтуїтивному рівні.
Перевірте безпеку свого додатка в контрольованому середовищі, піддавши його впливу шкідливого програмного забезпечення та намагаючись проникнути в його захист за допомогою соціальної інженерії. Після того, як ви усунете більшість очевидних векторів атак, ваш мобільний додаток буде готовий до загального використання більшістю вашої цільової аудиторії.