Відео: "Ил-2 Штурмовик" нового поколения - "Битва за Сталинград" и "Битва за Москву" #14 (Листопад 2024)
Коли ми пишемо Mobile Threat понеділок, ми часто розповідаємо вам про ще одне додаток для Android, яке всюди просочує вашу особисту інформацію. Іноді це пов’язано із сторонніми рекламними платформами, інтегрованими в додатки, але в інших випадках це просто прості погані рішення, які приймає розробник програми. Просто подивіться на Starbucks та їхній бентежний епізод.
Джаред Блейк, CTO в Moki, сів, щоб сказати нам п'ять простих речей, які розробники можуть зробити, щоб покращити свої програми та уникати заголовків, як Starbucks.
1: Використовуйте HTTPS для всього
Якщо говорити з особистого досвіду щодо покриття понеділка Mobile Threat, багато розробників, здається, ігнорують SSL під час створення своїх додатків. Блейк каже, що це просто неприпустимо. Він сказав, що комунікації повинні "Завжди здійснюватися в HTTPS. Просто немає вагомих причин цього не робити".
Забезпечення зв’язку з SSL перемагає низку поширених атак, як-от напади "людина-в-середині". Якщо це все звучить знайомо, це тому, що ми говоримо про це постійно. Блейк каже, що розробники повинні приймати HTTPS, "навіть якщо вам здається, що ви трохи параноїк".
2: Не намагайтеся винаходити власне шифрування
Що стосується захисту даних, розробники не повинні намагатися винаходити колесо. "Всі основні операційні системи мають сертифіковані NIST криптовалюти", - сказав Блейк. Він сказав, що ці вбудовані бібліотеки шифрування добре встановлені та пройшли перевірку експертів, тому розробники повинні ними скористатися.
Це важливо, оскільки програми часто містять критичні дані користувачів, такі як паролі та облікові дані для входу. Для цієї інформації простого тексту просто недостатньо.
3: Очищення журналів
Що стосується Starbucks, розробники програм ненавмисно виявили інформацію про вхід та пароль користувачів у файли журналів програми. Це не здивувало Блейка, який відмовив від цього: "розробники кидають що-небудь у колоду".
Але розробникам потрібно ретельно розглянути, яка інформація надходить у ці файли, що допоможе проаналізувати проблеми з додатком та покращити майбутні випуски.
4: Знай свою платформу
Споживачам це може здатися очевидним, але Android та iOS - це дуже різні платформи. Блейк каже, що це в свою чергу призводить до різних проблем безпеки в кожній платформі. Тільки тому, що ви ретельно розглядали проблеми безпеки на Android, не означає, що ваш додаток буде захищено на iOS.
5: Будьте в курсі особистої інформації та своєї аудиторії
Блейк крейдує чимало проблем, з якими розробники стикаються з особистими відомостями, що дозволяють отримати досвід. Поява мобільних додатків розпочалася дуже швидко, і Блейк каже, що багато розробників просто не «замислюються над наслідками того, що вони будують».
Блейк говорить, що розробникам потрібно запитати себе, чи інформація, яку збирає їхній додаток, - це те, про що користувачі будуть хвилюватися, якщо вони виявляються. Якщо так, інформацію потрібно ретельно захищати - або взагалі не збирати.
Споживачі повинні бути обізнаними
Звичайно, споживачів також потрібно просвітити. Вони повинні розуміти, що навіть інформація, яка здається щоденною - як номер телефону або електронна адреса - може багато про них розкрити. Вони також повинні розуміти, як додатки збирають цю інформацію, що в Android робиться в основному за допомогою дозволів на програми.
"Не просто сліпо приймайте ці дозволи", - сказав він. "Продумайте їх. Чи дійсно я хочу надати додатку доступ до мого блокування екрана? Мої контакти?"
Блейк також зазначив, що хоча деякі шкідливі програми проходять через систему перевірки Google для магазину Play, це все ще дуже безпечне місце для отримання ваших програм. "Мені важко думати про ситуацію, коли хтось хотів би поширювати додаток за межами Play Store, який я хотів би завантажити", - сказав він.