ビデオ: Я обэме (十一月 2024)
月曜日にMobile Threatを作成するとき、私たちはあなたの個人情報をあちこちに漏らしているさらに別のAndroidアプリについてしばしば話します。 サードパーティの広告プラットフォームがアプリに統合されていることが原因の場合もありますが、アプリの開発者が間違った決定を下しただけの場合もあります。 スターバックスとその恥ずかしいエピソードをご覧ください。
MokiのCTOであるJared Blakeが座って、開発者がアプリを改善し、スターバックスのような見出しを作らないようにするためにできる5つの簡単なことを説明しました。
1:すべてにHTTPSを使用する
月曜日のMobile Threatの報道に関する個人的な経験から言えば、多くの開発者はアプリを作成する際にSSLを無視しているようです。 ブレイクは、それは容認できないと言います。 彼は、通信は「常にHTTPSで行われるべきだ。そうしない正当な理由はない」と述べた。
SSLを使用して通信を保護すると、中間者攻撃などの多くの一般的な攻撃が無効になります。 これがすべておなじみのように聞こえるのは、私たちが常にそれについて話しているからです。 Blake氏は、開発者はHTTPSを採用する必要があると述べています。
2:独自の暗号化を発明しようとしないでください
データの保護に関しては、開発者は車輪の再発明を試みるべきではありません。 「すべての主要なオペレーティングシステムには、NIST認定の暗号化フレームワークがあります」とブレイクは言いました。 彼は、これらの組み込みの暗号化ライブラリは十分に確立されており、専門家によって吟味されているため、開発者はそれらを活用する必要があると述べました。
アプリはパスワードやログイン資格情報などの重要なユーザーデータを頻繁に保持するため、これは重要です。 この情報については、プレーンテキストだけでは不十分です。
3:ログをクリーンアップする
Starbucksの場合、アプリの開発者は、アプリのログファイルでユーザーのログイン情報とパスワード情報を誤って公開していました。 これは、「開発者はログに何かを投げる」と言ったブレイクを驚かせませんでした。
ただし、開発者はこれらのファイルにどの情報が含まれるかを慎重に検討する必要があります。これにより、アプリの問題を分析し、将来のリリースを改善できます。
4:プラットフォームを知る
消費者にとっては明らかなように思えるかもしれませんが、AndroidとiOSは非常に異なるプラットフォームです。 ブレイクは、これが各プラットフォームで異なるセキュリティ問題につながると言います。 Androidでセキュリティの問題を慎重に検討したからといって、iOSでアプリが安全になるわけではありません。
5:個人情報と視聴者に注意する
ブレイクは、開発者が経験の浅いために個人を特定できる情報に直面している多くの問題をチョークします。 モバイルアプリケーションの出現は非常に急速に進んでおり、多くの開発者は単に「構築しているものの影響を考えていない」とブレイクは言います。
Blake氏によると、開発者は、アプリが収集する情報が公開されているかどうかをユーザーが心配するものかどうかを自問する必要があると言います。 その場合、情報は慎重に保護する必要があります。またはまったく収集する必要はありません。
消費者は意識する必要がある
もちろん、消費者も教育を受ける必要があります。 彼らは、電話番号やメールアドレスなどのありふれた情報であっても、それらについて多くを明らかにできることを理解する必要があります。 また、アプリがどのようにその情報を収集するかを理解する必要があります。これは、Androidではほとんどアプリの許可を通じて行われます。
「盲目的にそれらの許可を受け入れないでください」と彼は言いました。 「それらについて考えてみてください。本当にロック画面へのアクセスをアプリに許可したいですか?連絡先ですか?」
また、一部の悪意のあるアプリケーションはGoogleのPlayストアの検査システムをすり抜けますが、それでもアプリを入手するのに非常に安全な場所であるとブレイクは言いました。 「誰かが私がダウンロードしたいPlayストアの外でアプリを配布する状況を考えるのは難しいです」と彼は言いました。