زمانی که پروژه ساخت یک اپلیکیشن کلید می خورد، یکی از اولین مواردی که باید به آن توجه شود، امنیت است. تیم های طراح و سازنده اپلیکیشن ها باید این حقیقت را بپذیرند که تنها اپلیکیشن هایی در بازار رقابت باقی خواهند ماند که بتوانند امن بودن خود را به اثبات برسانند. متاسفانه اشتباهات امنیتی متعددی در این زمینه به وجود می آیند که اگر به موقع تشخیص داده نشده و از بین نروند، ممکن است به آینده کاری صاحبان اپلیکیشن و همچنین تیم سازنده آن، صدمات جبران ناپذیری وارد کنند.
در این مقاله ما قصد داریم تا تعدادی از اشتباهات امنیتی رایج در ساخت برنامه های موبایل را به شما گوش زد کنیم تا اگر به فکر ساخت یک اپلیکیشن هستید، این موارد را مورد توجه خود قرار دهید. پس با ما همراه باشید.
۱- دریافت کدها از منابع نا معتبر
اگر قصد دارید یک اپلیکیشن را بسازید، می توانید از صفر تا صد آن را به تنهایی انجام ندهید و برای تکمیل کارتان از کدهای آماده ای که به راحتی قابل دسترسی هستند، استفاده کنید. اما این نکته را فراموش نکنید که منبع دریافت این کدها باید معتبر باشد. چون در غیر این صورت ممکن است کدهایی را مورد استفاده قرار دهید که به عنوان دام برای سازندگان اپلیکیشن ها در نظر گرفته شده اند و به راحتی می توانند زمینه خرابکاری و خواندن بدون مجوز اطلاعات را فراهم کنند.
۲- عدم توجه به آپدیت منظم برنامه
یکی از اشتباهات امنیتی در ساخت یک اپلیکیشن، عدم توجه به آپدیت مداوم آن است. ساخت یک برنامه بدون ویرایش و اصلاحات ایرادات، آن را به نابودی کشانده و به جز مشکلات امنیتی، اعتماد کاربران را هم از بین می برد.
اپلیکیشن هایی که به مسائل امنیتی آن ها توجه زیادی نشده و از طرفی با اطلاعات بانکی و خصوصی کاربران سر و کار دارند، مورد علاقه هکرها هستند. در واقع هکرها با پیدا کردن حفره های امنیتی این برنامه ها راه نفوذ و سوء استفاده از اطلاعات کاربران را خواهند یافت. پس باید آپدیت های امنیتی را جدی گرفت.
۳- ارزیابی و تست نکردن برنامه
اپلیکیشن هایی که می سازید هم مانند وب یاست ها نیاز به تست و ارزیابی دارند. این ارزیابی ها انواع متفاوت دارند و با توجه به نیاز برنامه و دسترسی هایی که به آن داده می شود، به گونه های متفاوتی اجرا خواهند شد. در برخی از موارد می توان تست را با کمک گرفتن از هکرهای قانونی انجام داد تا میزان نفوذپذیری برنامه تعیین شود.نرم افزارهای تست امنیت اپلیکیشن ها هم می توانند در کسب اطمینان از امن بودن برنامه شما موثر باشند. این نرم افزارها، مجوزها، کدها و حتی خود دستگاه را مورد ارزیابی قرار می دهند.
۴- عدم استفاده از حافظه داخلی برای ذخیره اطلاعات
اطلاعات مورد نیاز برنامه ها معمولا در مسیری از حافظه گوشی موبایل ذخیره می شوند. این مسیر باید در حافظه داخلی دستگاه بوده و با نام خود برنامه به شکل کاملا محافظت شده، در نظر گرفته شود. MODE_PRIVATE حالت پیشفرض ذخیره اطلاعات است که اجازه دسترسی سایر برنامه ها به اطلاعات دریافت شده از یک برنامه خاص را نمی دهد. استفاده نکردن از این حالت را می توان به عنوان یکی از اشتباهات امنیتی مهم دانست.
۵- عدم رمزگذاری برای ذخیره در حافظه خارجی
محل ذخیره سازی داده ها ممکن است بر روی رسانه های خارجی مانند کارت SD باشد. دلیل این امر در اکثر موارد کمبود حافظه داخلی برای ذخیره اطلاعات است. در صورت استفاده از حافظه خارجی و جداشدنی از دستگاه، بهتر است تا از رمزهای ایمن بر روی داده ها استفاده شود تا در صورت دسترسی غیر مجاز به این حافظه ها، امکان سوء استفاده از اطلاعات وجود نداشته باشد. توسعه دهندگان اپلیکیشن ها معمولا از الگوریتم های رمزگذاری بر روی داده های حساس استفاده می کنند که یکی از پرکاربردترین آن ها Advanced Encryption Standard یا AES است.
استفاده از OWA Top Ten برای برقراری امنیت
OWA Top Ten سندی است که مجموعه خطاها و مشکلات امنیتی که در طی سال های گذشته برای اپلیکیشن ها ایجاد شده اند را فهرست کرده است و به مرور زمان به روز رسانی می شود. این مشکلات که معمولا به دلیل ورود نامناسب، وجود باگ های امنیتی، حملات نفوذی و تغییر تنظیمات و … ایجاد می شوند، باید توسط طراح بررسی شوند. پس بهتر است تا پیش از شروع کار به این سند مراجعه گردد.
