วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
เมื่อเราเขียน Mobile Threat จันทร์เรามักจะบอกคุณเกี่ยวกับแอพ Android อีกตัวที่รั่วข้อมูลส่วนตัวของคุณไปทั่วสถานที่ บางครั้งอาจเป็นเพราะแพลตฟอร์มโฆษณาของบุคคลที่สามที่รวมเข้ากับแอพ แต่บางครั้งก็เป็นเพียงการตัดสินใจที่ไม่ดีโดยนักพัฒนาของแอป เพียงแค่ดูสตาร์บัคส์และเรื่องราวที่น่าอับอายของพวกเขา
Jared Blake, CTO ของ Moki นั่งลงเพื่อบอกเราห้าสิ่งที่นักพัฒนาสามารถทำได้เพื่อทำให้แอพของพวกเขาดีขึ้นและหลีกเลี่ยงการสร้างหัวข้อเช่น Starbucks
1: ใช้ HTTPS สำหรับทุกสิ่ง
จากประสบการณ์ส่วนตัวกับ Mobile Threat Monday Coverage ของเราผู้พัฒนาจำนวนมากดูเหมือนจะเพิกเฉย SSL เมื่อสร้างแอพของพวกเขา เบลคกล่าวว่าเป็นสิ่งที่ยอมรับไม่ได้ เขากล่าวว่าการสื่อสารควร "ทำใน HTTPS เสมอไม่มีเหตุผลที่ดีที่จะไม่ทำ"
การสื่อสารที่ปลอดภัยด้วย SSL จะเอาชนะการโจมตีทั่วไปจำนวนมากเช่นการโจมตีแบบคนกลาง ถ้าทุกอย่างฟังดูคุ้นหูนั่นเป็นเพราะเราพูดถึงมันตลอดเวลา เบลคกล่าวว่านักพัฒนาซอฟต์แวร์ต้องยอมรับ HTTPS "แม้ว่าคุณจะรู้สึกว่าตัวเองเป็นคนหวาดระแวง"
2: อย่าพยายามประดิษฐ์การเข้ารหัสของคุณเอง
เมื่อพูดถึงการรักษาความปลอดภัยของข้อมูลผู้พัฒนาไม่ควรพยายามที่จะพลิกโฉมวงล้อ "ระบบปฏิบัติการหลักทั้งหมดมีกรอบการเข้ารหัสลับที่ได้รับการรับรองจาก NIST" เบลคกล่าว เขากล่าวว่าห้องสมุดการเข้ารหัสในตัวเหล่านี้ได้รับการจัดตั้งขึ้นเป็นอย่างดีและได้รับการตรวจสอบโดยผู้เชี่ยวชาญดังนั้นนักพัฒนาจึงควรใช้ประโยชน์จากพวกเขา
สิ่งนี้สำคัญเนื่องจากแอปมักเก็บข้อมูลผู้ใช้ที่สำคัญเช่นรหัสผ่านและข้อมูลรับรองการเข้าสู่ระบบ สำหรับข้อมูลนี้ข้อความธรรมดาไม่เพียงพอ
3: ล้างบันทึกของคุณ
ในกรณีของ Starbucks ผู้พัฒนาแอปเปิดเผยข้อมูลการเข้าสู่ระบบและรหัสผ่านของผู้ใช้โดยไม่ตั้งใจในไฟล์บันทึกของแอพ สิ่งนี้ไม่แปลกใจเลยว่าเบลคผู้ซึ่งกล่าวว่า "ผู้พัฒนาจะโยนสิ่งใด ๆ ลงในบันทึก"
แต่นักพัฒนาจำเป็นต้องพิจารณาอย่างรอบคอบว่าข้อมูลใดที่เข้าไปในไฟล์เหล่านี้ซึ่งช่วยวิเคราะห์ปัญหากับแอพและปรับปรุงการเผยแพร่ในอนาคต
4: รู้จักแพลตฟอร์มของคุณ
อาจดูเหมือนผู้บริโภคชัดเจน แต่ Android และ iOS เป็นแพลตฟอร์มที่แตกต่างกันมาก เบลคกล่าวว่าสิ่งนี้จะนำไปสู่ปัญหาด้านความปลอดภัยที่แตกต่างกันในแต่ละแพลตฟอร์ม เพียงเพราะคุณพิจารณาปัญหาด้านความปลอดภัยอย่างระมัดระวังใน Android ไม่ได้หมายความว่าแอปของคุณจะปลอดภัยบน iOS
5: ระวังข้อมูลส่วนบุคคลและผู้ชมของคุณ
Blake chalks ปัญหาจำนวนมากที่นักพัฒนากำลังเผชิญกับข้อมูลที่สามารถระบุตัวบุคคลเพื่อประสบการณ์ที่แท้จริง การปรากฎตัวของแอปพลิเคชั่นมือถือเกิดขึ้นอย่างรวดเร็วและเบลคกล่าวว่านักพัฒนาจำนวนมากไม่ได้ "คิดในแง่ของสิ่งที่พวกเขากำลังสร้าง"
เบลคกล่าวว่านักพัฒนาจำเป็นต้องถามตัวเองว่าข้อมูลที่แอพรวบรวมได้นั้นเป็นสิ่งที่ผู้ใช้กำลังกังวลหรือไม่หากมีการเปิดเผย ถ้าเป็นเช่นนั้นข้อมูลจะต้องได้รับการรักษาความปลอดภัยอย่างรอบคอบ - หรือไม่รวบรวมเลย
ผู้บริโภคจำเป็นต้องรู้ตัว
แน่นอนผู้บริโภคยังต้องได้รับการศึกษา พวกเขาต้องเข้าใจว่าแม้แต่ข้อมูลที่ดูเหมือนโลกีย์เช่นหมายเลขโทรศัพท์หรือที่อยู่อีเมลก็สามารถเปิดเผยข้อมูลเกี่ยวกับพวกเขาได้มากมาย พวกเขายังต้องเข้าใจว่าแอพรวบรวมข้อมูลนั้นซึ่งส่วนใหญ่ทำบน Android ผ่านการอนุญาตของแอพ
"อย่าเพียงแค่ยอมรับการอนุญาตเหล่านั้นอย่างสุ่ม ๆ " เขากล่าว "ลองคิดดูพวกเขาฉันต้องการให้แอปเข้าถึง lockscreen ของฉันหรือไม่ที่อยู่ติดต่อของฉัน"
เบลกยังกล่าวด้วยว่าแม้ว่าแอปพลิเคชั่นที่เป็นอันตรายบางตัวจะส่งผ่านระบบการแจ้งเตือนของ Google สำหรับ Play สโตร์ แต่ก็ยังเป็นสถานที่ที่ปลอดภัยในการรับแอปของคุณ “ ฉันรู้สึกกดดันอย่างยิ่งที่จะนึกถึงสถานการณ์ที่มีคนแจกจ่ายแอพนอก Play Store ที่ฉันต้องการดาวน์โหลด” เขากล่าว
