Мобильная безопасность в 2021 году. Рекомендации для пользователей iOS/ Android и мобильных разработчиков.
Scroll

В эпоху общедоступных и частных сетей 5G, облачных решений и удаленной работы защита мобильных данных приобрела новую актуальность. Специалисты по интернет-безопасности и разработчики всё чаще сталкиваются с сетевым мошенничеством, но особый интерес киберпреступники проявляют к мобильным приложениям. Согласно исследованиям, разработки для Android и iOS по-прежнему небезопасны. По данным Gartner, примерно 75% мобильных приложений не проходят тесты безопасности. В то же время более 1000 приложений Android собирают информацию о местоположении, даже если вы им запрещаете это делать.

Mobile apps statistics

Предотвращение фишинга, вирусов и других киберугроз — общая ответственность пользователей и разработчиков. Для достижения высоких стандартов безопасности важно работать сообща. Клиенты могут начать с установки надежного пароля, который состоит из случайных символов. Не будет лишним и отключение персонализированной рекламы.

Сегодня мы хотим поделиться другими простыми, но эффективными способами решения проблем интернет-безопасности. Мы разделили этот пост на две части, чтобы дать вам важные советы по обеспечению конфиденциальности и безопасности iPhone/Android устройств. Сначала поговорим о действиях пользователей, а затем остановимся на советах по безопасности для разработчиков.

Безопасность приложений для iOS: пять практических советов

Приложения для iOS

Если вы хотите повысить безопасность iPhone, продолжайте читать. Эти советы также применимы для защиты других устройств на базе iOS.

1. Включите двухфакторную аутентификацию

Как следует из названия, двухфакторная аутентификация обеспечивает второй уровень безопасности для учетной записи Apple. Чтобы войти в систему с другого устройства, необходимо ввести пароль и одноразовый код, автоматически отправленный на iPhone. А значит, даже если у кого-то есть ваш пароль, его будет недостаточно для входа в учетную запись. Понадобится дополнительное устройство: компьютер или телефон.

2. Настройте перечень функций, доступных на экране блокировки

В противном случае ваш iPhone может отображать личные данные или определенные функции без запроса пароля. Проверьте функции, доступные на экране блокировки в области «Разрешить доступ при блокировке».

«Ответить на пропущенные вызовы», «Центр уведомлений» или «Ответить сообщением» — все эти действия лучше отключить.

3. Проверьте разрешения приложений

Многие приложения для ритейла требуют информацию о местоположении, в то время как пользователи соглашаются, прежде чем прочитать уведомление до конца. Откройте область «Конфиденциальность» и убедитесь, что для служб определения местоположения установлено значение «Никогда» или «Во время использования». Отключите точное местоположение для приложений о погоде: приблизительных данных будет достаточно. Если вы используете мобильные приложения для бизнеса и вам необходима надежная защита данных, услуги ИТ-безопасности от опытных специалистов помогут усилить безопасность.

4. Посмотрите, сколько данных собирают приложения

В разделе «Конфиденциальность приложений» в App Store есть три подраздела: данные, не связанные с пользователем; информация, относящаяся к вашей личности; данные, используемые для отслеживания. Внутри этих разделов размещены 14 типов приложений, которые могут собирать о вас информацию. Самый простой способ проверить конфиденциальность — открыть App Store, коснуться значка аккаунта и найти раздел «Мои покупки». Лучше использовать приложения с относительно короткими ярлыками. Обратите особое внимание на платформы, которые используют данные для отслеживания. Если остались вопросы, обратитесь к экспертам по мобильной разработке за дополнительной информацией.

5. Используйте функцию Sign-in with Apple

С помощью этой функции учетная запись может быть скрыта за случайным адресом электронной почты, который пересылается на ваш существующий e-mail. Все, что нужно сделать — это создать учетную запись с вашим Apple ID.

Несколько советов для разработчиков. Как без особых усилий обезопасить приложение IOS?

  • Используйте протоколы SSL / TLS для предотвращения атак «man-in-the-middle». Сертификаты SSL должны быть основаны на 2048 битовых ключах. Чтобы взломать сертификат последнего поколения, потребуется более 6,4 квадриллиона лет.
  • Если есть возможность, не храните важные данные локально.
  • Выберите схемы URL-адресов для дополнительной проверки.
  • Исключите вредоносные операторы SQL из баз данных вашего приложения.
  • Еще раз проверьте, к каким сетевым ресурсам приложение получает доступ.
  • Не забудьте о бэкэнд-защите, выбрав надежную аутентификацию на стороне сервера.

Советы по защите приложений Android

Защита приложений Android

Пришло время обсудить, как защитить личную информацию при использовании Android-устройств.

1. Установите антивирусные приложения

Как правило, ведущие антивирусные компании имеют собственные программы для Android, такие как Avast, Norton или Kaspersky. Вы можете бесплатно скачать надежное антивирусное приложение, например, Lookout или TrustGo.

2. Храните конфиденциальную информацию за дополнительным слоем шифрования

Не стоит хранить особо важные данные на планшете или мобильном телефоне. Загрузите приложения, которые хранят информацию с двойным шифрованием и защитой. File Hide Expert и mSecure — одни из наиболее популярных на данный момент.

3. Загрузите приложение удаленной очистки /блокировки

Многочисленные приложения на рынке Google Play позволяют владельцам очистить данные или заблокировать гаджеты в случае кражи. Cerberus и Avast Mobile Security незамедлительно реагируют на текстовую команду. Можно также использовать их через веб-интерфейс.

4. Старайтесь не подключаться к неизвестным сетям Wi-Fi

Неизвестные сети иногда связаны с атакой «посредников», когда третья сторона получает личные данные, в том числе и номер вашей кредитной карты.

5. Используйте внутреннюю память и избегайте определенных режимов

Этот совет будет полезен тем, кто думает о создании локального приложения или найме разработчиков Android. Вы должны знать, что все документы, которые хранятся во внутренней памяти, доступны только для вашего приложения. Старайтесь избегать использования MODE_WORLD_READABLE и MODE_WORLD_WRITEABLE для файлов IPC. Эти режимы не обеспечивают управление форматом данных, а ещё не способны ограничить доступ к информации для определенных приложений.

Список необходимых функций безопасности для разработчиков Android:

  • Android Application Sandbox, предназначенный для изоляции кода и самого приложения от других систем.
  • Криптография, разрешения и безопасный IPC — важные составляющие инфраструктуры приложения.
  • ASLR, NX, ProPolice, OpenBSD dlmalloc, OpenBSD calloc и Linux mmap_min_addr справляются с рисками, связанными с общими ошибками управления памятью.
  • Зашифрованная файловая система особенно полезна для защиты информации о потерянных гаджетах.
  • Пользовательские разрешения ограничивают доступ к информации и некоторым функциям системы.
  • Разрешения, которые определяет само приложение. Нужны для управления информацией каждого веб-продукта.

Обеспечение безопасности корпоративных мобильных приложений и платформ с персональными данными 

Центр аутсорсинговой разработки

PNN Soft создает программные продукты уже 20 лет, и мы оттачиваем навыки, чтобы воплощать идеи в новейшие приложения. Помимо этого, мы предоставляем клиентам услуги ИТ-консалтинга, уделяя особое внимание безопасности.

Мы нацелены на глубокое понимание целей, особенностей и потребностей предприятий, поэтому наши клиенты предпочитают долгосрочное сотрудничество.

PNN Soft использует методологии Agile, Scrum и RAD для эффективного взаимодействия с клиентами, удовлетворения потребностей заказчика и достижения большей гибкости. В группы Agile-экспертов входят разработчики программного обеспечения, дизайнеры графического интерфейса, тестировщики, технические писатели и менеджеры.

Если вы планируете аутсорсинговую мобильную разработку или нуждаетесь в ИТ-консалтинге, свяжитесь с нами.

 

Оставить Заявку

Оставьте заявку и наши менеджеры свяжутся с вами в ближайшее время

Спасибо за ваш запрос!

Мы получили ваш запрос и очень ценим ваш интерес к нашей компании. Мы свяжемся с вами в ближайшее время.