Video: How to Make an Android App for Beginners (November 2024)
Wanneer we maandag Mobile Threat schrijven, vertellen we je vaak over nog een Android-app die je persoonlijke informatie overal lekt. Soms is het vanwege advertentieplatforms van derden die in apps zijn geïntegreerd, maar andere keren zijn het gewoon slechte beslissingen van de ontwikkelaar van de app. Kijk maar eens naar Starbucks en hun beschamende aflevering.
Jared Blake, de CTO bij Moki, ging zitten en vertelde ons vijf eenvoudige dingen die ontwikkelaars kunnen doen om hun apps beter te maken en om koppen als Starbucks te vermijden.
1: Gebruik HTTPS voor alles
Sprekend vanuit persoonlijke ervaring met onze dekking van Mobile Threat Monday, lijken veel ontwikkelaars SSL te negeren bij het maken van hun apps. Blake zegt dat dat gewoon onaanvaardbaar is. Hij zei dat communicatie "altijd via HTTPS moet gebeuren. Er is gewoon geen goede reden om dat niet te doen."
Het beveiligen van communicatie met SSL verslaat een aantal veel voorkomende aanvallen, zoals man-in-the-middle-aanvallen. Als dit allemaal bekend klinkt, komt dat omdat we er altijd over praten. Blake zegt dat ontwikkelaars HTTPS moeten omarmen, "zelfs als je het gevoel hebt een beetje paranoïde te zijn."
2: Probeer niet uw eigen codering uit te vinden
Als het gaat om het beveiligen van gegevens, moeten ontwikkelaars niet proberen het wiel opnieuw uit te vinden. "Alle belangrijke besturingssystemen hebben NIST gecertificeerde crypto-frameworks, " zei Blake. Hij zei dat deze ingebouwde coderingsbibliotheken goed ingeburgerd zijn en door deskundigen zijn doorgelicht, dus ontwikkelaars moeten er gebruik van maken.
Dit is belangrijk omdat apps vaak kritieke gebruikersgegevens bevatten, zoals wachtwoorden en inloggegevens. Voor deze informatie is gewone tekst gewoon niet genoeg.
3: Ruim uw logboeken op
In het geval van Starbucks hebben app-ontwikkelaars onbedoeld de inlog- en wachtwoordinformatie van gebruikers in de logbestanden van de app onthuld. Dit verbaasde Blake niet, die zei: "ontwikkelaars gooien alles in een logboek."
Maar ontwikkelaars moeten zorgvuldig overwegen welke informatie in deze bestanden terechtkomt, die helpen bij het analyseren van problemen met de app en het verbeteren van toekomstige releases.
4: Ken uw platform
Het lijkt misschien vanzelfsprekend voor consumenten, maar Android en iOS zijn zeer verschillende platforms. Blake zegt dat dit op zijn beurt leidt tot verschillende beveiligingsproblemen in elk platform. Het feit dat u beveiligingsproblemen op Android zorgvuldig hebt overwogen, betekent niet dat uw app veilig zal zijn op iOS.
5: Wees u bewust van persoonlijke informatie en uw publiek
Blake krijt veel van de problemen waarmee ontwikkelaars geconfronteerd worden met persoonlijk identificeerbare informatie, puur onervarenheid. De komst van mobiele applicaties is heel snel begonnen en Blake zegt dat veel ontwikkelaars gewoon niet "nadenken over de gevolgen van wat ze bouwen."
Blake zegt dat ontwikkelaars zich moeten afvragen of de informatie waarover hun app verzamelt iets is waar gebruikers zich zorgen over zullen maken als deze wordt vrijgegeven. Als dit het geval is, moet de informatie zorgvuldig worden beveiligd - of helemaal niet worden verzameld.
Consumenten moeten zich bewust zijn
Natuurlijk moeten consumenten ook worden opgeleid. Ze moeten begrijpen dat zelfs informatie die alledaags lijkt - zoals een telefoonnummer of e-mailadres - veel over hen kan onthullen. Ze moeten ook begrijpen hoe apps die informatie verzamelen, wat op Android meestal gebeurt via app-machtigingen.
"Accepteer niet alleen blindelings die machtigingen, " zei hij. "Denk er goed over na. Wil ik echt een app toegang geven tot mijn vergrendelscherm? Mijn contacten?"
Blake zei ook dat, hoewel sommige kwaadaardige applicaties door het controlesysteem van Google voor de Play Store glijden, het nog steeds een zeer veilige plek is om je apps te krijgen. "Ik vind het moeilijk om een situatie te bedenken waarin iemand een app buiten de Play Store zou verspreiden die ik zou willen downloaden, " zei hij.
