Hirdetés

Mobilappok elkerülendő veszélyei

|

A hackertámadások új célpontjai a mobilalkalmazások, így a fejlesztés során kiemelten fontos a biztonsági szempontok figyelembe vétele.

Ezer- és százezerszámra érhetők el alkalmazások a mobilplatformok appboltjaiban; különösen nagyszámú programot kínálnak a fejlesztők az Android és az iOS mobil-operációsrendszerekhez. Az okostelefonos és tabletes alkalmazások növekvő népszerűsége azonban mindinkább felkelti a kiberbűnözők érdeklődését, akik többféle megtévesztési módszerrel, álcázással, zsarolással igyekeznek bevételre szert tenni, valamint bizalmas információkat begyűjteni a több milliárdnyi mobileszköz-használótól. Szinte hetente hallani híreket arról, hogy valamelyik alkalmazásáruházban rosszindulatú programokat fedeztek fel, majd távolítottak el onnan az üzemeltetők. Különösen veszélyes a nem hivatalos áruházakból való appletöltés, mert az ezekben található programok nem mentek át a platform fejlesztőjének biztonsági ellenőrzésén, így nagy számban találhatók közöttük rosszindulatúak. Újabban gyakran fordul elő, hogy a hackerek legális alkalmazásnak álcázzák programjukat, így tévesztve meg a gyanútlan felhasználókat, akiknek fogalmuk sincs arról, hogy valójában vírust telepítenek mobileszközükre. Pedig nem árt az óvatosság, az appok hivatalos forrásból történő beszerzése, mivel a rosszindulatú programok között immár szép számmal találhatók olyanok, amelyektől jószerivel csak a mobilkészülék cseréjével lehet megszabadulni.

A vírusokkal és zsarolóprogramokkal való megfertőzésen kívül a kiberbűnözők a mobil-operációsrendszerek és a futtatott appok sérülékenységeinek kihasználásával kísérlik meg átvenni az ellenőrzést a mobileszközök felett. Az operációs rendszerek biztonsági problémáinak megoldása a platform fejlesztőjének a feladata, az appok biztonságáért viszont annak készítője tartozik felelősséggel. Különösen a bizalmas információkat - bankkártya, bejelentkezési és személyes adatokat - kezelő appok esetében járhat katasztrofális következményekkel a fejlesztő számára egy adatlopási incidens.

A felhőalapú vállalati mobilmegoldások forgalmazásával foglalkozó Kony cég tanulmányában összefoglalta, az appfejlesztőknek mire kell ügyelniük, hogy elkerüljék a mobilhasználókat érintő leggyakoribb biztonsági problémákat.

Biztonsági szakértők szerint a fejlesztők által elkövetett első komolyabb hiba, hogy teljes mértékben megbíznak a mobilplatform beépített biztonsági szolgáltatásaiban. Márpedig nincs olyan platform, amely mentes lenne a sebezhetőségektől. Az iPhone-okon és iPadeken futó iOS mobil-operációsrendszert nagyon biztonságosnak tartja a szakma, ráadásul az Apple alkalmazásáruházába bekerülő appokat szigorú vizsgálatnak vetik alá, utólag mégis kiderül egyes programokról, hogy rosszindulatúak. Ami a piacon domináló Androidot illeti, itt is csak jóváhagyás után kerülnek be a programok a Google Play áruház kínálatába, és a felhasználói visszajelzések is segítenek kiszűrni a nem odavaló appokat. Ennek ellenére egyik platform sem abszolút biztonságos, és nem lehet teljesen rájuk hagyatkozni, amikor a felhasználók megvédéséről gondoskodnak az appfejlesztők.

Hirdetés

 

Óvatosan az újrafelhasználható kódokkal

Sokan használnak más fejlesztők által írt, ingyenesen hozzáférhető kódot alkalmazásuk elkészítéséhez. Ez komoly veszélyekkel jár, ugyanis a választékban megtalálhatók olyan kódrészletek is, amelyeket hackerek készítettek abban a reményben, hogy a "lusta" fejlesztők beépítik majd ezeket a programjaikba, kivételesen sebezhetővé téve azokat. Emiatt nagy óvatosságot igényel mások munkájának a felhasználása, érdemes sorról sorra átvizsgálni a kódot vagy csak ellenőrzött és biztonságos forrásból átvenni programokat.

Hirdetés

A mobileszközök sajátossága, hogy a működési sebesség növelése érdekében az éppen felhasznált információkat a lehető leghosszabb ideig gyorstárazzák, ami az adatlopási kísérletekkel szemben sebezhetővé teszi őket, mivel a hackerek egyszerűen hozzá tudnak férni az átmenetileg tárolt adatokhoz. Szakértők szerint megoldást jelenthet az apphasználat jelszóhoz kötése vagy a gyorstár automatikus kiürítése a mobileszköz újraindításakor.

Ugyancsak kiemelt fontosságú a kész app mindenre - szenzorokra, kamerákra, GPS-re, platformra - kiterjedő biztonsági tesztelése annak kiadását megelőzően. Ennek során ügyelni kell arra, hogy a tesztelésben résztvevő felhasználók ne férjenek hozzá az összeomlások, hibajavítások adatait tartalmazó állományokhoz, mert ezek az első helyek, ahol a hackerek az alkalmazások sérülékenységei után kutatnak. Az iOS-ben kikapcsolhatók az NSLog jelentések, az Android esetében pedig törlődnek a naplófájlok, amikor a mobileszközt újraindítják, igaz, addig sebezhető marad az alkalmazás.

Hirdetés

 

Titkosított tárolás és kommunikáció

Az adat- és alkalmazásvédelem egyik fontos eszköze a titkosítás. Ennek hiányában vagy elavult, gyenge, könnyen feltörhető módszerek alkalmazásakor komoly kockázata van a bizalmas adatok ellopásának. Manapság sok mobilapp kezel érzékeny információkat, bankkártyaszámokat, azonosításra használt adatokat, amelyek könnyen illetéktelen kezekbe kerülhetnek, ha nincsenek megfelelő erősségű titkosítással védve. Minél többen használnak egy appot, annál nagyobb a veszélye annak, hogy a kiberbűnözők látókörébe kerül.

Feltétlenül gondolni kell arra is egy app fejlesztésekor, hogy a mobileszközt ellophatják vagy elveszthetik. Ilyen esetekben nyújt védelmet az alkalmazás számára a bizonyos időközönkénti vagy bizonyos számú használat utáni jelszókérés. Szintén nem szabad megfeledkezni arról, hogy a bizalmas felhasználói információkat kezelő appok rendszeresen kommunikálnak a kapcsolódó szolgáltatásokat végző kiszolgálógépekkel. Csakúgy, mint a mobileszközön való tárolás esetében, a kommunikációnál is úgy biztosítható az adatok védelme, ha az átvitelt SSL technológiával titkosítják. Ez nyilvános WiFi-hálózatok használatakor is megakadályozza az adatlopást.

Végezetül arra hívják fel a figyelmet a biztonsági szakértők, hogy az alkalmazásfejlesztés koránt sem ér véget az app megjelentetésével: ezt követően gondoskodni kell a használat során feltárt sérülékenységek kijavításáról. A hackerek ugyanis nem tétlenkednek, igyekeznek felkutatni a sokak által használt és ritkán frissített mobilalkalmazások sebezhetőségeit, hogy korai kihasználásukkal extra jövedelemre tegyenek szert. A fejlesztőknek figyelembe kell venniük azt is, hogy idő kell, amíg a javítófoltok eljutnak a felhasználók mobileszközeire, ezért érdemes kialakítani egy olyan ütemtervet, amely gyakori frissítést valósít meg.

Hirdetés
Hirdetés
Hirdetés
Hirdetés
X

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.