Các cuộc tấn công mạng và trộm cắp dữ liệu đã trở nên rất phổ biến trong những ngày này, đặc biệt là khi nói đến các ứng dụng di động. Do đó, các ứng dụng di động trải qua các vi phạm bảo mật có thể bị tổn thất tài chính. Với nhiều tin tặc để đánh cắp dữ liệu khách hàng, việc đảm bảo các ứng dụng này đã trở thành ưu tiên số một cho các tổ chức và là một thách thức nghiêm trọng đối với các nhà phát triển. Theo nghiên cứu gần đây của Gartner, chu kỳ bảo mật ứng dụng, đầu tư vào bảo mật ứng dụng sẽ tăng gấp hơn hai lần trong vài năm tới, từ 6 tỷ đô la trong năm nay lên 13,7 tỷ đô la vào năm 2026. Hiện tại là hàng đầu cho các nhà phát triển và các chuyên gia bảo mật, và sự nhấn mạnh hiện đang chuyển sang các ứng dụng được lưu trữ trên các đám mây công cộng, điều quan trọng là phải có được các thành phần cơ bản của bảo mật DevOps. Dưới đây là 12 mẹo để bảo mật ứng dụng di động của bạn: & NBSP;
1. Cài đặt ứng dụng từ các nguồn đáng tin cậy:
Nó phổ biến để có các ứng dụng Android được tái bản trên các thị trường thay thế hoặc APK & IPA của họ có sẵn để tải xuống. Cả APK và IPA đều có thể được tải xuống và cài đặt từ nhiều nơi khác nhau, bao gồm các trang web, dịch vụ đám mây, ổ đĩa, phương tiện truyền thông xã hội và mạng xã hội. Chỉ có cửa hàng Play và App Store mới được phép cài đặt các tệp APK và IPA đáng tin cậy. Để ngăn chặn việc sử dụng các ứng dụng này, chúng ta nên có phát hiện kiểm tra nguồn [Play Store hoặc App Store] khi bắt đầu ứng dụng.
Cũng đọc, //andresand.medium.com/add-method-to-check-which-app-tre
2. Phát hiện gốc:Root Detection:
Android: Kẻ tấn công có thể khởi chạy ứng dụng di động trên thiết bị gốc và truy cập bộ nhớ cục bộ hoặc gọi các hoạt động hoặc ý định cụ thể để thực hiện các hoạt động độc hại trong ứng dụng. & NBSP;
iOS: Các ứng dụng trên một thiết bị bị bẻ khóa chạy dưới dạng root bên ngoài hộp cát iOS. Điều này có thể cho phép các ứng dụng truy cập dữ liệu nhạy cảm được lưu trữ trong các ứng dụng khác hoặc cài đặt phần mềm độc hại phủ định chức năng hộp cát. & NBSP;
Thông tin thêm về phát hiện gốc- //owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. Lưu trữ dữ liệu:
Các nhà phát triển sử dụng các tùy chọn và mặc định của người dùng được chia sẻ để lưu trữ các cặp có giá trị khóa như mã thông báo, số điện thoại di động, email, giá trị boolean, v.v. Ngoài ra, trong khi tạo ứng dụng, nhà phát triển thích cơ sở dữ liệu SQLite cho dữ liệu có cấu trúc. Nên lưu trữ bất kỳ dữ liệu nào theo định dạng mã hóa để rất khó trích xuất thông tin của tin tặc.
4. Khóa bí mật an toàn:
Các khóa API, mật khẩu và mã thông báo không nên được mã hóa mã cứng trong mã. Nên sử dụng các kỹ thuật khác nhau để lưu trữ các giá trị này để tin tặc không thể thoát khỏi nhanh chóng bằng cách giả mạo ứng dụng. & NBSP;
Tại đây, một liên kết tham khảo: //guides.codepath.com/android/storing-secret-neys-in-ern- android
5. Mã obfuscation
Kẻ tấn công có thể phân tách tệp APK và trích xuất mã nguồn của ứng dụng. Điều này có thể phơi bày thông tin nhạy cảm được lưu trữ trong mã nguồn của ứng dụng cho kẻ tấn công có thể được sử dụng để thực hiện các cuộc tấn công phù hợp. & NBSP;
Tốt hơn là làm xáo trộn mã nguồn để ngăn chặn tất cả các thông tin nhạy cảm có trong mã nguồn.
6. Giao tiếp an toàn:
Một kẻ tấn công có thể thực hiện các hoạt động độc hại để tận dụng mức độ tấn công vì tất cả các giao tiếp đang diễn ra trên các kênh không được mã hóa. Vì vậy, luôn luôn sử dụng URL HTTPS trên URL HTTP.
7. SSL Ghim:
Ghim chứng chỉ cho phép các ứng dụng di động chỉ hạn chế giao tiếp với các máy chủ có chứng chỉ hợp lệ khớp với giá trị dự kiến [PIN]. Ghim đảm bảo dữ liệu mạng không bị xâm phạm ngay cả khi người dùng bị lừa cài đặt chứng chỉ gốc độc hại trên thiết bị di động của họ. Bất kỳ ứng dụng nào ghim chứng chỉ của nó sẽ ngăn chặn các nỗ lực lừa đảo như vậy bằng cách từ chối truyền dữ liệu qua kết nối bị xâm phạmno network data is compromised even if a user is tricked into installing a malicious root certificate on their mobile device. Any app that pins its certificates would thwart such phishing attempts by refusing to transmit data over a compromised connection
Vui lòng tham khảo: & nbsp;
//owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. Dữ liệu yêu cầu và phản hồi API an toàn
Thực tiễn tiêu chuẩn là sử dụng HTTPS để bảo vệ cơ sở các cuộc gọi API REST. Thông tin được gửi đến máy chủ hoặc nhận được từ máy chủ có thể được mã hóa thêm với AES, v.v. Ví dụ, nếu có nội dung nhạy cảm, bạn có thể chọn chọn chúng để mã hóa để ngay cả khi HTTPS bị hỏng hoặc bị cấu hình sai, bạn có một lớp bảo vệ khác từ mã hóa của bạn.
9. Xác thực ứng dụng di động an toàn:
Trong trường hợp một ứng dụng không gán mã thông báo phiên khác biệt và phức tạp sau khi đăng nhập cho người dùng, kẻ tấn công có thể tiến hành lừa đảo để thu hút nạn nhân sử dụng mã thông báo được tạo tùy chỉnh do kẻ tấn công cung cấp và dễ dàng bỏ qua trang đăng nhập với phiên bị bắt bằng cách sử dụng một cuộc tấn công MITM.
i] gán mã thông báo phiên khác biệt và phức tạp cho người dùng mỗi khi anh ấy/cô ấy đăng nhập thành công vào ứng dụng. & NBSP;
ii] chấm dứt tuổi thọ phiên ngay sau khi đăng xuất. & NBSP;
iii] không sử dụng cùng một mã thông báo phiên cho hai hoặc nhiều địa chỉ IP. & nbsp;
iv] Giới hạn thời gian hết hạn cho mỗi mã thông báo phiên.
10. & nbsp; Cho phép sao lưu & nbsp;
Không cho phép người dùng sao lưu một ứng dụng nếu nó chứa dữ liệu nhạy cảm. Có quyền truy cập vào các tệp sao lưu [nghĩa là khi Android: allowbackup = True true trực tuyến], có thể sửa đổi/đọc nội dung của một ứng dụng ngay cả trên thiết bị không root. Vì vậy, nên làm cho phép sao lưu sai. & Nbsp;
11. Hạn chế truy cập màn hình ứng dụng Android từ các ứng dụng khác
Lý tưởng nhất, các hoạt động của bạn không nên cung cấp bất kỳ điều khoản nào cho việc mở từ các dịch vụ hoặc ứng dụng khác. Làm đúng chỉ khi bạn có một yêu cầu cụ thể để truy cập màn hình rung của mình từ các ứng dụng khác nếu không thay đổi sang Android: xuất khẩu =android:exported= ”false”
12. Hạn chế các gói cài đặt từ ứng dụng Android
Yêu cầu_install_packages cho phép các ứng dụng cài đặt các gói mới trên thiết bị người dùng. Chúng tôi cam kết ngăn chặn lạm dụng trên nền tảng Android và bảo vệ người dùng khỏi các ứng dụng tự cập nhật bằng cách sử dụng bất kỳ phương pháp nào ngoài cơ chế cập nhật của Google Play, hoặc tải xuống các APK có hại. permission allows apps to install new packages on a user’s device. We are committed to preventing abuse on the Android platform and protecting users from apps that self-update using any method other than Google Play’s update mechanism or download harmful APKs.
Conclusion:
Các ứng dụng di động đã trở nên cá nhân hóa hơn bao giờ hết với hàng đống khách hàng dữ liệu cá nhân được lưu trữ trong đó mỗi ngày. Để xây dựng niềm tin và lòng trung thành giữa người dùng và ngăn chặn tổn thất tài chính và chứng chỉ đáng kể cho các công ty, giờ đây điều quan trọng là phải đảm bảo ứng dụng này được bảo mật cho người dùng. Theo sau các danh sách kiểm tra bảo mật ứng dụng di động đã đề cập ở trên chắc chắn sẽ giúp ngăn tin tặc hack ứng dụng.
Thông tin về các Tác giả:
Raviteja Aketi là một kỹ sư phần mềm cao cấp tại Mantra Labs. Ông có nhiều kinh nghiệm với các dự án B2B. Raviteja thích khám phá các công nghệ mới, xem phim và dành thời gian cho gia đình và bạn bè.
Đọc blog mới nhất của chúng tôi: Thực hiện kiến trúc sạch với Nest.js
Kiến thức đáng để gửi trong hộp thư đến của bạn