וִידֵאוֹ: QAX 5.ª Edição Online - Live 1 (אוֹקְטוֹבֶּר 2024)
כאשר אנו כותבים את האיום הנייד ביום שני, לעתים קרובות אנו מספרים לכם על אפליקציית אנדרואיד נוספת שמדלפת את המידע האישי שלכם בכל מקום. לפעמים זה בגלל פלטפורמות פרסום של צד שלישי המשולבות באפליקציות, אך בפעמים אחרות זו פשוט החלטות לא טובות שקיבלו מפתח האפליקציה. פשוט תסתכל על סטארבקס, ואת הפרק המביך שלהם.
ג'ארד בלייק, ה- CTO במוקי, התיישב ואמר לנו חמישה דברים פשוטים שמפתחים יכולים לעשות כדי לשפר את האפליקציות שלהם ולהימנע מלעלות כותרות כמו סטארבקס.
1: השתמש ב- HTTPS לכל דבר
אם כבר מדברים על ניסיון אישי עם הסיקור האישי של ה- Mobile Threat ביום שני, נראה כי מפתחים רבים מתעלמים מ- SSL בעת יצירת האפליקציות שלהם. בלייק אומר שזה פשוט לא מקובל. הוא אמר שצריך לתקשר את התקשורת ב- HTTPS. פשוט אין סיבה טובה שלא.
אבטחת תקשורת עם SSL מביסה מספר התקפות שכיחות, כמו התקפות אדם באמצע. אם כל זה נשמע מוכר, זה בגלל שאנחנו מדברים על זה כל הזמן. בלייק אומר שמפתחים חייבים לאמץ HTTPS, "גם אם אתה מרגיש שאתה קצת פרנואידי."
2: אל תנסה להמציא את ההצפנה שלך
כשמדובר באבטחת נתונים, מפתחים לא צריכים לנסות להמציא את הגלגל מחדש. "לכל מערכות ההפעלה העיקריות יש מסגרות קריפטו מאושרות על ידי NIST", אמר בלייק. הוא אמר כי ספריות ההצפנה המובנות הללו מבוססות היטב והומצאו על ידי מומחים, ולכן על המפתחים לנצל אותן.
זה חשוב מכיוון שאפליקציות מחזיקות לעתים קרובות נתוני משתמש קריטיים כמו סיסמאות ותעודות כניסה. למידע זה פשוט איננו מספיק.
3: לנקות את היומנים שלך
במקרה של סטארבקס, מפתחי האפליקציות חשפו שלא בכוונה את פרטי הכניסה והסיסמה של המשתמשים בקובצי היומן של האפליקציה. זה לא הפתיע את בלייק, שציטט כי "המפתחים יזרקו כל דבר ליומן."
אך מפתחים צריכים לשקול בזהירות איזה מידע נכנס לקבצים אלה, שעוזרים לנתח בעיות עם האפליקציה ולשפר את המהדורות העתידיות.
4: דע את הפלטפורמה שלך
זה אולי נראה ברור לצרכנים, אך אנדרואיד ו- iOS הן פלטפורמות שונות מאוד. בלייק אומר כי זה בתורו מוביל לבעיות אבטחה שונות בכל פלטפורמה. רק מכיוון ששקלת בזהירות בעיות אבטחה ב- Android לא אומר שהאפליקציה שלך תהיה מאובטחת ב- iOS.
5: היזהר ממידע אישי וקהלך
בלייק מגדיר הרבה מהנושאים שמפתחים אותם עם מידע המאפשר זיהוי אישי לחוסר ניסיון. הופעתן של אפליקציות סלולריות התרחשה במהירות רבה, ובלייק אומר שמפתחים רבים פשוט לא "חושבים על ההשלכות של מה שהם בונים."
בלייק אומר כי מפתחים צריכים לשאול את עצמם אם המידע שהאפליקציה שלהם אוספת הוא משהו שמשתמשים הולכים לדאוג לו אם הוא ייחשף. אם כן, המידע צריך להיות מאובטח בזהירות - או לא לאסוף אותו כלל.
צרכנים צריכים להיות מודעים
כמובן שצרכנים צריכים גם להיות מחונכים. הם צריכים להבין שגם מידע שנראה שגרתי - כמו מספר טלפון או כתובת דוא"ל - יכול לחשוף הרבה אודותיהם. הם גם צריכים להבין כיצד אפליקציות אוספות מידע זה, שבאנדרואיד נעשה בעיקר באמצעות הרשאות אפליקציה.
"אל תסתכלי פשוט בעיוורון מאותן הרשאות, " אמר. "חשוב דרכם. האם אני באמת רוצה לתת לאפליקציה גישה למסך הנעילה שלי? אנשי הקשר שלי?"
בלייק גם ציין שלמרות שחלק מהיישומים הזדוניים גולשים דרך מערכת ההשקעות של גוגל לחנות Play, עדיין מדובר במקום בטוח מאוד להשיג את האפליקציות שלך. "קשה לי לחשוב על מצב שמישהו יפיץ אפליקציה מחוץ לחנות Play שהייתי רוצה להוריד, " אמר.
