Je app beter beveiligen? Volg deze 4 regels
Smartphones worden het best beveiligd door het implementeren van native in-app veiligheidscontroles, die niet afhankelijk zijn van een platform of een smartphone-gebruiker. Volg deze 4 regels voor een betere beveiliging van apps.
60 procent van de apparaten die bedrijfsgegevens bevatten of er toegang toe bieden, zijn mobiel. Maar helaas, smartphones kunnen op vele manieren worden gehackt en gebruikt om gevoelige gegevens te lekken.
Versterkte smartphone is een must
“Een versterkte beveiliging op een smartphone is bijgevolg een must”, schrijft Cyber Security Ambassador bij Sirris, Tatiana Galibus, in haar artikel Vier regels om de veiligheid van uw mobiele app te vrijwaren.
“Laten we trachten de top 10 van mobiele risico's van het OWASP te begrijpen vanuit het meest pragmatische oogpunt. We geven je hierna een korte lijst van vier makkelijk te begrijpen aanbevelingen zonder dubbelzinnige formuleringen, zodat je attent kunt blijven voor de veiligheid in jouw app.”
Wat zijn de cruciale aspecten die ontwikkelaars van mobiele apps voor ogen moeten houden?
Tatiana vertrekt voor elke regel met een voorbeeld van hoe het niet mag.
Regel 1. Gebruik het platform en api -calls correct
De apps FitnessBalance en Heart Rate Monitor gebruikten de TouchID-functie om geld te ontfutselen via de toegang tot de Apple Store-account.
Oplossing: De standaard functionaliteiten van de Android/Apple-platforms zoals TouchID, Keychain, of Android Intents of de API -aanroepen moeten veilig gebruikt worden.
Regel 2. Bescherm alle gegevens
Datingapps Tinder en Bumble kregen kritiek voor hun niet-beveiligde gegevensopslag waarbij privégegevens van gebruikers werden gelekt.
Oplossing: Als ontwikkelaar moet je gegevensopslag en communicatie beveiligen. Onder meer met de laatste versie van TLS met verplichte wederzijdse authenticatie , versleutelde opslag en veerkrachtig sleutelbeheer en monitoringtools om de toegang tot het geheugen en de schending ervan te controleren.
Regel 3. Ontwikkel eigen toegangscontrolefuncties
De Android Health-app gebruikte een ontoereikende cryptografie voor de opslag van de patiëntengegevens. Hiermee bracht het patiënten in gevaar.
Oplossing: Codeer toegangscontrolefuncties zoals authenticatie , autorisatie en encryptie correct. Gebruik beveiligde API -aanroepen en houd rekening met alle mogelijke aanvalsscenario's.
Regel 4. Let goed op je code
De app van British Airways lekte duizenden kaartnummers van zijn klanten omwille van een slecht geschreven code die werd ontrafeld door reverse engineering.
Oplossing: Neem de tijd om de code goed en veilig te schrijven. Gebruik antivervalsingsmethodes, zoals verduistering, in elke app.
Zoek een beveiligingsexpert
Wie deze vier regels volgt en verdedigingscontroles op deze aanvalsoppervlakken inbouwt, beschermt zijn app tegen de meeste aanvallen.
Misschien is beveiliging niet je expertise? Roep dan de hulp in van een beveiligingsexpert om te begrijpen hoe je kritische beveiligingsprocedures zoals authenticatie kan implementeren.
Meer weten? Woon deze workshop bij!
Wil je als softwarebedrijf inzichten in mobiele beveiliging uitwisselen?
In het kader van het ESF-project organiseert Sirris een uitvoerige workshop rond betrouwbare mobiele apps. Deze workshop is bedoeld als een pragmatische gids van kritische beveiligingstools en praktijken voor start-ups en scale-ups.