您是否曾经使用过手机条形码扫描仪等工具类APP应用程序?您是否是使用OA APP进行办公管理的公司领导?无论您是个人还是公司,您的商业秘密、报价、员工数据和其他敏感信息都可能保存在APP中。你可以是初创公司,也可以是拥有存储用户信用卡和银行帐户详细信息的零售应用的中小型企业。你可以是一个“免费增值模式”的APP应用程序所有者,用钱换取功能。每当将数据换成APP应用服务(反之亦然)时,是否知道数据是否以及如何保护?
APP应用程序安全性是APP应用程序中必不可少但被严重低估的方面。很多时候,应用程序所有者和应用程序用户都不会考虑在应用程序安全方面留下漏洞所带来的威胁。
APP应用程序如何以及为什么访问您的数据?
当您在设备上下载应用程序时,会出现一个框,警告我们该应用程序将访问媒体文件、您注册的电子邮件 ID 以及与该应用程序相关的任何本机设备功能等数据。作为用户,我们单击“允许”并接受免费安装。作为回报,我们允许集成到应用程序中的多个第三方访问我们的数据和设备功能。
一切都很好,但您需要知道谁在努力保护您在安装上一个应用程序时授予访问权限的关键数据。提示:这是像我们这样的APP应用程序开发公司。
这些统计数据会让你感到震惊!
53%的移动商务欺诈是货币欺诈。这些是使用存储的信用卡详细信息进行的。其余47%可能是身份盗窃,银行欺诈和数据网络钓鱼。
与2013年相比,2014年移动商店/应用程序商家因欺诈而损失的收入增加了70%,这意味着黑客攻击变得越来越复杂和猖獗。
身份盗用,被黑客入侵的Facebook帐户,篡改的照片,经济损失,这些是数据丢失的成本,您必须为丢失设备的费用付出代价。某些应用程序开发公司和应用程序所有者犯了哪些错误以及如何修复它们?我们会告诉您,因为我们不懈地努力保护我们构建的所有APP应用程序。
APP应用安全漏洞#1:高风险交互和交易不安全
APP应用程序旨在与后端服务交互。在企业应用中,例如特定公司的 CRM 应用,后端数据使用第三方集成进行存储。同样,每当应用程序从云中提取数据时,都会涉及第三方集成。
整合就像链条中的关节,链条和最薄弱的环节一样坚固。与后端的所有集成都需要安全性。使用SSL(套接字安全层)等加密算法加密数据,这是目前使用最广泛的在线加密算法。TLS(传输层安全性)也可用于增加安全性。
另一个关键的集成是将支付网关集成到您的应用程序中。
对于存储借记卡/信用卡以允许一键付款的此类网关和快速结帐,遵循某些安全标准。应遵守PCI DSS(支付卡行业数据安全标准)准则。
| 控制目标 | PCI DSS 要求 |
| 构建和维护安全网络 | 1. 安装和维护防火墙配置以保护持卡人数据 |
| 2. 不要对系统密码和其他安全参数使用供应商提供的默认值 | |
| 保护持卡人数据 | 3. 保护存储的持卡人数据 |
| 4. 加密持卡人数据在开放的公共网络上的传输 | |
| 维护漏洞管理计划 | 5. 在通常受恶意软件影响的所有系统上使用并定期更新防病毒软件 |
| 6. 开发和维护安全的系统和应用程序 | |
| 实施强大的访问控制措施 | 7. 根据业务知情需要限制对持卡人数据的访问 |
| 8. 为每个具有计算机访问权限的人分配一个唯一的 ID | |
| 9. 限制对持卡人数据的物理访问 | |
| 定期监控和测试网络 | 10. 跟踪和监控对网络资源和持卡人数据的所有访问 |
| 11. 定期测试安全系统和流程 | |
| 维护信息安全策略 | 12. 维护解决信息安全的政策 |
移动应用安全漏洞 #2:攻击后的关键数据管理。
在CRM应用程序,社交媒体API,地理位置应用程序中,存储的数据是个人的,并且应该保密。数据泄露可能会毁了人们。因此,存储个人数据的应用程序需要协议和遵守。
这些数据何时会受到损害?
在两种情况下,此数据将受到损害。
1. 设备盗窃
2.黑客攻击。
解决方案是什么?
此问题的解决方案可以是特定于设备的,也可以是特定于应用程序的。
如果是前一种情况并且您丢失了设备,则大多数都带有远程选择性擦除功能。这意味着您可以从设备中删除敏感数据。大多数手机都带有安全登录,允许用户执行相同的操作。
如果您的设备被盗或放错地方,您甚至可以对应用程序使用选择性擦除。 Android / iOS设备上的Google+,Gmail(基本上所有连接到Google帐户的Google应用程序)等应用程序允许用户删除敏感信息,阻止特定设备访问或简单地从被盗设备中删除应用程序和用户帐户。这适用于所有流行的社交媒体应用程序,如Facebook,LinkedIn,Google+等。
同样,CRM应用程序或内部员工管理系统等企业应用程序也应该具有自毁代码,以便在有人丢失手机或受到黑客攻击时消除关键数据。为了确保离开公司的员工不再访问信息,还应在这些应用程序中添加选择性或部分擦除选项。
APP应用程序安全漏洞#3:误导用户的虚假应用程序版本
APP应用程序的安全性越好,威胁就越严重。伪造应用程序是黑客,网络犯罪分子之间的另一种恶意行为。作案手法是获取应用程序代码的公共副本,复制应用程序,让毫无戒心的用户下载虚假版本,然后提取机密数据以进行恶意活动。有没有办法保护应用程序免受虚假版本的侵害?是的。
为了他们自己的利益,用户应该始终从应用商店或Playstore下载应用程序。
应避免任何其他来源。设备通常会通知用户他们即将从不受信任的来源下载应用。
其余的取决于使用安全开发标准,包括 安全代码, 加密数据 .
尤其是在使用第三方集成或跨应用程序集成时。第三方应用程序也应进行验证。应修复错误和故障代码,并保持高质量标准。应保护可重用的代码。
所有集成都应交换加密数据。在执行系统测试之前,应在集成代码上运行回归测试。可以将每个集成视为单元测试的代码单元。
结论:
APP应用程序开发中的安全性不应该妥协,我们上面建议的任何解决方案都是我们为开发自己的APP应用程序而实施的解决方案。
我们严格遵守OWASP标准是开发绝对安全应用程序的关键因素。我们还在iOS的本机应用程序中实现了二进制安全性。
