Video: Tiểu sử diễn viên MÃ KHẢ (Tháng Chín 2024)
Khi chúng tôi viết lên Đe dọa di động vào thứ Hai, chúng tôi thường nói với bạn về một ứng dụng Android khác đang rò rỉ thông tin cá nhân của bạn ở mọi nơi. Đôi khi, đó là do các nền tảng quảng cáo của bên thứ ba được tích hợp vào các ứng dụng, nhưng lần khác, đó chỉ là những quyết định tồi tệ của nhà phát triển ứng dụng. Chỉ cần nhìn vào Starbucks, và tập đáng xấu hổ của họ.
Jared Blake, CTO tại Moki, đã ngồi xuống để nói với chúng tôi năm điều đơn giản mà các nhà phát triển có thể làm để làm cho ứng dụng của họ tốt hơn và tránh tạo ra các tiêu đề như Starbucks.
1: Sử dụng HTTPS cho mọi thứ
Phát biểu từ trải nghiệm cá nhân với phạm vi bảo hiểm Mobile Threat Thứ Hai của chúng tôi, nhiều nhà phát triển dường như bỏ qua SSL khi tạo ứng dụng của họ. Blake nói rằng điều đó không thể chấp nhận được. Ông nói rằng thông tin liên lạc nên "Luôn luôn được thực hiện trong HTTPS. Không có lý do chính đáng nào để không."
Đảm bảo liên lạc với SSL đánh bại một số cuộc tấn công phổ biến, như các cuộc tấn công trung gian. Nếu tất cả điều này nghe có vẻ quen thuộc thì đó là vì chúng ta luôn nói về nó. Blake nói rằng các nhà phát triển phải nắm lấy HTTPS, "ngay cả khi bạn cảm thấy mình hơi hoang tưởng."
2: Đừng cố phát minh mã hóa của riêng bạn
Khi nói đến việc bảo mật dữ liệu, các nhà phát triển không nên cố gắng phát minh lại bánh xe. "Tất cả các hệ điều hành chính đều có khung tiền điện tử được chứng nhận NIST", Blake nói. Ông nói rằng các thư viện mã hóa tích hợp này được thiết lập tốt và đã được các chuyên gia xem xét kỹ lưỡng, vì vậy các nhà phát triển nên tận dụng chúng.
Điều này rất quan trọng vì các ứng dụng thường giữ dữ liệu quan trọng của người dùng như mật khẩu và thông tin đăng nhập. Đối với thông tin này, văn bản đơn giản là không đủ.
3: Dọn dẹp nhật ký của bạn
Trong trường hợp của Starbucks, các nhà phát triển ứng dụng đã vô tình tiết lộ thông tin đăng nhập và mật khẩu của người dùng trong các tệp nhật ký của ứng dụng. Điều này không làm Blake ngạc nhiên, người đã châm biếm rằng, "các nhà phát triển sẽ ném bất cứ thứ gì vào nhật ký."
Nhưng các nhà phát triển cần xem xét cẩn thận những thông tin nào có trong các tệp này, giúp phân tích các vấn đề với ứng dụng và cải thiện các bản phát hành trong tương lai.
4: Biết nền tảng của bạn
Nó có vẻ rõ ràng đối với người tiêu dùng, nhưng Android và iOS là những nền tảng rất khác nhau. Blake nói rằng điều này đến lượt nó dẫn đến các vấn đề bảo mật khác nhau trong mỗi nền tảng. Chỉ vì bạn đã cân nhắc cẩn thận các vấn đề bảo mật trên Android không có nghĩa là ứng dụng của bạn sẽ được bảo mật trên iOS.
5: Cảnh giác với thông tin cá nhân và đối tượng của bạn
Blake phấn đấu rất nhiều vấn đề mà các nhà phát triển đang phải đối mặt với thông tin nhận dạng cá nhân với sự thiếu kinh nghiệm. Sự ra đời của các ứng dụng di động đã xuất hiện rất nhanh và Blake nói rằng nhiều nhà phát triển chỉ đơn giản là "không nghĩ đến sự phân nhánh của những gì họ đang xây dựng."
Blake nói rằng các nhà phát triển cần phải tự hỏi liệu thông tin mà ứng dụng của họ tập hợp có phải là thứ mà người dùng sẽ lo lắng nếu nó bị lộ. Nếu vậy, thông tin cần được bảo mật cẩn thận hoặc không được thu thập.
Người tiêu dùng cần cảnh giác
Tất nhiên, người tiêu dùng cũng cần được giáo dục. Họ cần phải hiểu rằng ngay cả những thông tin có vẻ trần tục như số điện thoại hoặc địa chỉ email có thể tiết lộ rất nhiều về họ. Họ cũng cần hiểu cách các ứng dụng thu thập thông tin đó, điều mà trên Android được thực hiện chủ yếu thông qua các quyền của ứng dụng.
"Đừng chỉ mù quáng chấp nhận những điều khoản đó", ông nói. "Hãy suy nghĩ kỹ về họ. Tôi có thực sự muốn cấp cho ứng dụng quyền truy cập vào màn hình khóa của mình không? Danh bạ của tôi?"
Blake cũng đề cập rằng mặc dù một số ứng dụng độc hại lọt qua hệ thống kiểm tra của Google cho cửa hàng Play, đây vẫn là nơi rất an toàn để tải ứng dụng của bạn. "Tôi rất khó để nghĩ về một tình huống mà ai đó sẽ phân phối một ứng dụng bên ngoài Cửa hàng Play mà tôi muốn tải xuống", anh nói.
