Мобільна безпека у 2021 році. Рекомендації для користувачів iOS/Android та мобільних розробників

В епоху загальнодоступних і приватних мереж 5G, хмарних рішень та віддаленої роботи захист мобільних даних набув нової актуальності. Фахівці з інтернет-безпеки та розробники дедалі частіше стикаються з мережевим шахрайством, але особливий інтерес кіберзлочинці виявляють до мобільних додатків. Згідно з дослідженнями, розробки для Android та iOS, як і раніше, небезпечні. За даними Gartner, приблизно 75% мобільних додатків не проходять тести безпеки. Водночас понад 1000 додатків Android збирають інформацію про місцезнаходження, навіть якщо ви їм забороняєте це робити.

Запобігання фішингу, вірусам та іншим кіберзагрозам — спільна відповідальність користувачів і розробників. Для досягнення високих стандартів безпеки важливо працювати спільно. Клієнти можуть почати зі встановлення надійного пароля, який складається з випадкових символів. Не буде зайвим і відключення персоналізованої реклами.

Сьогодні ми хочемо поділитися іншими простими, але ефективними способами вирішення проблем інтернет-безпеки. Ми розділили цей пост на дві частини, щоб надати вам важливі поради щодо забезпечення конфіденційності та безпеки iPhone/Android пристроїв. Спочатку поговоримо про дії користувачів, а потім зупинимося на порадах з безпеки для розробників.

Безпека додатків для iOS: п’ять практичних порад

Якщо ви хочете підвищити безпеку iPhone, продовжуйте читати. Ці поради також застосовні для захисту інших пристроїв на базі iOS.

1. Увімкніть двофакторну аутентифікацію

Як випливає з назви, двофакторна аутентифікація забезпечує другий рівень безпеки для облікового запису Apple. Щоб увійти в систему з іншого пристрою, необхідно ввести пароль та одноразовий код, автоматично надісланий на iPhone. А отже, навіть якщо у когось є ваш пароль, його буде недостатньо для входу в обліковий запис. Знадобиться додатковий пристрій: комп’ютер або телефон.

2. Налаштуйте перелік функцій, доступних на екрані блокування

В іншому випадку ваш iPhone може відображати особисті дані або певні функції без запиту пароля. Перевірте функції, доступні на екрані блокування в області «Дозволити доступ під час блокування».

«Відповісти на пропущені виклики», «Центр повідомлень» або «Відповісти повідомленням» — всі ці дії краще відключити.

3. Перевірте дозволи додатків

Багато додатків для ритейлу вимагають інформацію про місцезнаходження, тоді як користувачі погоджуються, перш ніж прочитати повідомлення до кінця. Відкрийте область «Конфіденційність» і переконайтеся, що для служб визначення місця розташування встановлено значення «Ніколи» або «Під час використання». Вимкніть точне місце розташування для додатків про погоду: приблизних даних буде достатньо. Якщо ви використовуєте мобільні додатки для бізнесу і вам необхідний надійний захист даних, послуги ІТ-безпеки від досвідчених спеціалістів допоможуть посилити безпеку.

4. Подивіться, скільки даних збирають додатки

У розділі «Конфіденційність додатків» в App Store є три підрозділи: дані, не пов’язані з користувачем; інформація, що стосується вашої особистості; дані, що використовуються для відстеження. Усередині цих розділів розміщено 14 типів додатків, які можуть збирати про вас інформацію. Найпростіший спосіб перевірити конфіденційність — відкрити App Store, торкнутися значка акаунта та знайти розділ «Мої покупки». Краще використовувати додатки з відносно короткими ярликами. Зверніть особливу увагу на платформи, які використовують дані для відстеження. Якщо залишилися питання, зверніться до експертів з мобільної розробки за додатковою інформацією.

5. Використовуйте функцію Sign-in with Apple

За допомогою цієї функції обліковий запис може бути прихований за випадковою адресою електронної пошти, яка пересилається на ваш наявний e-mail. Усе, що потрібно зробити — це створити обліковий запис із вашим Apple ID.

Кілька порад для розробників. Як без особливих зусиль убезпечити додаток IOS?

• Використовуйте протоколи SSL/TLS для запобігання атакам «man-in-the-middle». Сертифікати SSL мають бути засновані на 2048 бітових ключах. Щоб зламати сертифікат останнього покоління, знадобиться понад 6,4 квадрильйона років.
• Якщо є можливість, не зберігайте важливі дані локально.
• Виберіть схеми URL-адрес для додаткової перевірки.
• Виключіть шкідливі оператори SQL з баз даних вашого додатка.
• Ще раз перевірте, до яких мережевих ресурсів додаток отримує доступ.
• Не забудьте про бек-енд-захист, обравши надійну аутентифікацію на стороні сервера.

Поради щодо захисту додатків Android

Настав час обговорити, як захистити особисту інформацію під час використання Android-пристроїв.

1. Встановіть антивірусні додатки

Як правило, провідні антивірусні компанії мають власні програми для Android, як-от Avast, Norton або Kaspersky. Ви можете безкоштовно завантажити надійний антивірусний застосунок, наприклад, Lookout або TrustGo.

2. Зберігайте конфіденційну інформацію за додатковим шаром шифрування

Не варто зберігати особливо важливі дані на планшеті або мобільному телефоні. Завантажте додатки, які зберігають інформацію з подвійним шифруванням і захистом. File Hide Expert і mSecure — одні з найпопулярніших на даний момент.

3. Завантажте додаток віддаленого очищення/блокування

Численні додатки на ринку Google Play дають змогу власникам очистити дані або заблокувати гаджети в разі крадіжки. Cerberus та Avast Mobile Security негайно реагують на текстову команду. Можна також використовувати їх через вебінтерфейс.

4. Намагайтеся не підключатися до невідомих мереж Wi-Fi

Невідомі мережі іноді пов’язані з атакою «посередників», коли третя сторона отримує особисті дані, зокрема й номер вашої кредитної картки.

5. Використовуйте внутрішню пам’ять та уникайте певних режимів

Ця порада буде корисною для тих, хто думає про створення локального додатка або наймання розробників Android. Ви маєте знати, що всі документи, які зберігаються у внутрішній пам’яті, доступні лише для вашого додатка. Намагайтеся уникати використання MODE_WORLD_READABLE і MODE_WORLD_WRITEABLE для файлів IPC. Ці режими не забезпечують управління форматом даних, а ще не здатні обмежити доступ до інформації для певних додатків.

Список необхідних функцій безпеки для розробників Android:

• Android Application Sandbox, призначений для ізоляції коду та самого застосунку від інших систем.
• Криптографія, дозволи та безпечний IPC — важливі складові інфраструктури додатка.
• ASLR, NX, ProPolice, OpenBSD dlmalloc, OpenBSD calloc і Linux mmap_min_addr впораються з ризиками, пов’язаними із загальними помилками управління пам’яттю.
• Зашифрована файлова система особливо корисна для захисту інформації про втрачені гаджети.
• Користувацькі дозволи обмежують доступ до інформації та деяких функцій системи.
• Дозволи, які визначає сам додаток. Потрібні для управління інформацією кожного вебпродукту.

Забезпечення безпеки корпоративних мобільних додатків і платформ із персональними даними  

PNN Soft створює програмні продукти вже понад 20 років, ми вдосконалюємо досвід, щоб втілювати ідеї в новітні додатки. Крім цього, ми надаємо клієнтам послуги ІТ-консалтингу, приділяючи особливу увагу безпеці.

Ми націлені на глибоке розуміння завдань, особливостей та потреб підприємств, тому наші клієнти віддають перевагу довгостроковій співпраці.

PNN Soft використовує методології Agile, Scrum і RAD для ефективної взаємодії з клієнтами, задоволення потреб замовника та досягнення більшої гнучкості. До груп Agile-експертів входять розробники програмного забезпечення, дизайнери графічного інтерфейсу, тестувальники, технічні копірайтери та менеджери.

Якщо Ви плануєте аутсорсингову мобільну розробку або потребуєте ІТ-консалтингу, зв’яжіться з нами.