Lar Securitywatch 5 maneiras fáceis de desenvolvedores criar aplicativos que não vazam suas informações

5 maneiras fáceis de desenvolvedores criar aplicativos que não vazam suas informações

Vídeo: [Power BI] 11 Formas de Compartilhar - Parte 3: Apps, Embedded e Premium (Novembro 2024)

Vídeo: [Power BI] 11 Formas de Compartilhar - Parte 3: Apps, Embedded e Premium (Novembro 2024)
Anonim

Quando escrevemos o Mobile Threat Monday, geralmente falamos sobre outro aplicativo Android que vaza suas informações pessoais por todo o lugar. Às vezes, é por causa de plataformas de publicidade de terceiros integradas aos aplicativos, mas outras vezes são simplesmente más decisões tomadas pelo desenvolvedor do aplicativo. Basta dar uma olhada na Starbucks e seu episódio embaraçoso.

Jared Blake, CTO da Moki, sentou-se para nos contar cinco coisas simples que os desenvolvedores podem fazer para melhorar seus aplicativos e evitar manchetes como a Starbucks.

1: Use HTTPS para tudo

Falando da experiência pessoal com a cobertura da Mobile Threat Monday, muitos desenvolvedores parecem ignorar o SSL ao criar seus aplicativos. Blake diz que isso é inaceitável. Ele disse que as comunicações devem "sempre ser feitas em HTTPS. Não há justificativa para não fazê-lo".

Proteger as comunicações com SSL derrota vários ataques comuns, como ataques do tipo man-in-the-middle. Se tudo isso soa familiar, é porque conversamos sobre isso o tempo todo. Blake diz que os desenvolvedores devem adotar o HTTPS ", mesmo que você sinta que está sendo um pouco paranóico".

2: Não tente inventar sua própria criptografia

Quando se trata de proteger dados, os desenvolvedores não devem tentar reinventar a roda. "Todos os principais sistemas operacionais têm estruturas de criptografia certificadas pelo NIST", disse Blake. Ele disse que essas bibliotecas embutidas de criptografia estão bem estabelecidas e foram examinadas por especialistas, portanto os desenvolvedores devem tirar proveito delas.

Isso é importante porque os aplicativos frequentemente mantêm dados críticos do usuário, como senhas e credenciais de login. Para essas informações, o texto simples simplesmente não é suficiente.

3: Limpe seus logs

No caso da Starbucks, os desenvolvedores de aplicativos revelaram inadvertidamente as informações de login e senha dos usuários nos arquivos de log do aplicativo. Isso não surpreendeu Blake, que brincou com isso: "os desenvolvedores jogam qualquer coisa em um log".

Mas os desenvolvedores precisam considerar cuidadosamente quais informações são inseridas nesses arquivos, o que ajuda a analisar problemas com o aplicativo e melhorar as versões futuras.

4: Conheça sua plataforma

Pode parecer óbvio para os consumidores, mas o Android e o iOS são plataformas muito diferentes. Blake diz que isso, por sua vez, leva a diferentes problemas de segurança em cada plataforma. Só porque você considerou cuidadosamente os problemas de segurança no Android não significa que seu aplicativo estará seguro no iOS.

5: Esteja ciente das informações pessoais e do seu público

Blake identifica muitos dos problemas que os desenvolvedores estão enfrentando com informações de identificação pessoal para pura inexperiência. O advento dos aplicativos móveis chegou muito rapidamente, e Blake diz que muitos desenvolvedores simplesmente não estão "pensando nas ramificações do que estão construindo".

Blake diz que os desenvolvedores precisam se perguntar se as informações que seus aplicativos coletam são algo com que os usuários vão se preocupar se forem expostos. Nesse caso, as informações precisam ser cuidadosamente protegidas - ou não coletadas.

Os consumidores precisam estar cientes

Obviamente, os consumidores também precisam ser educados. Eles precisam entender que mesmo as informações que parecem mundanas - como um número de telefone ou endereço de e-mail - podem revelar muito sobre elas. Eles também precisam entender como os aplicativos coletam essas informações, o que no Android é feito principalmente por meio de permissões do aplicativo.

"Não aceite cegamente essas permissões", disse ele. "Pense neles. Eu realmente quero dar a um aplicativo acesso à minha tela de bloqueio? Meus contatos?"

Blake também mencionou que, embora alguns aplicativos maliciosos passem pelo sistema de verificação do Google para a Play Store, ainda é um lugar muito seguro para obter seus aplicativos. "Estou com dificuldade de pensar em uma situação em que alguém distribuiria um aplicativo fora da Play Store que eu gostaria de baixar", disse ele.

5 maneiras fáceis de desenvolvedores criar aplicativos que não vazam suas informações