Vier regels om de veiligheid van uw mobiele app te vrijwaren

Naarmate de mobiele diensten en applicaties aan belang winnen, komen de kwetsbaarheden van de mobiele apps aan het licht. In dit artikel nemen we de 10 belangrijkste mobiele kwetsbaarheden van het OWASP-project (Open Web Application Security Project) onder de loep en brengen we ze onder in vier eenvoudige regels om ze beter te begrijpen en te leren hoe we ze kunnen toepassen. Als u dit eenmaal hebt gelezen, vergeet u nooit nog één element van deze top 10!  

In deze tijden van digitale bedrijfstransformatie worden mobiele diensten en applicaties almaar belangrijker. Het is voor niemand nog een geheim: het mobiele internet kent een exponentiële groei en versnelt de vraag naar de ontwikkeling van mobiele apps. Iedereen beschikt nu eenmaal graag over uw dienst op zijn smartphone.     

Met de snelle groei van het mobiele internet komen anderzijds ook de kwetsbaarheden van de mobiele apps aan het licht. Mobiele applicaties leveren snelle inkomsten op en de ontwikkelaars haasten zich om snel apps te ontwikkelen, waarbij ze vaak de veiligheidseisen negeren. Mobiele apps vormen vandaag de belangrijkste aanvalsvector van de moderne IT-technologie  

Smartphones 

60 percent van de apparaten die bedrijfsgegevens bevatten of er toegang toe bieden, zijn mobiel; een versterkte beveiliging op een smartphone is bijgevolg een must. Het zwakke punt is het apparaat zelf: het kan op vele manieren worden gehackt en worden gebruikt om gevoelige gegevens te lekken. Er is geen andere oplossing dan het implementeren van native in-app veiligheidscontroles, die niet afhankelijk zijn van een platform of een smartphone-gebruiker.  

Gelukkig zijn zowel Android- als Apple-platformontwikkelaars zich van het probleem bewust en werken ze hun richtsnoeren voor beveiligde codering geregeld bij. Het OWASP-project (Open Web Application Security Project), dat op de praktische beveiliging van applicaties focust, houdt een bekende lijst van de 10 belangrijkste mobiele kwetsbaarheden bij, alsook een Mobile Application Security Verification Standard en een MASVS testgids. Met die vele tools en richtsnoeren is het niet eenvoudig om een correcte koers en strategie te vinden. Kortom, wat zijn de cruciale aspecten die ontwikkelaars van mobiele apps voor ogen moeten houden?

Volgens ons is vereenvoudigen de beste manier om zich rekenschap te geven van de situatie. In de praktijk worden top 10-lijsten vaak naast zich neer gelegd omdat ze moeilijk te interpreteren zijn. Laten we trachten de top 10 van mobiele risico's van het OWASP te begrijpen vanuit het meest pragmatische oogpunt. We geven u hierna een korte lijst van vier makkelijk te begrijpen aanbevelingen zonder dubbelzinnige formuleringen, zodat u attent kunt blijven voor de veiligheid in uw app.

Hier is een simpele mindmap:

Regel 1. Gebruik uw platform en api-calls correct: M1 en M10

Vaak worden de standaard functionaliteiten van de Android/Apple-platforms of de API-aanroepen onveilig gebruikt. OS-functies zoals TouchID, Keychain, of Android Intents kunnen voor kwaadaardige acties worden omzeild. Een voorbeeld: de apps FitnessBalance en Heart Rate Monitor gebruikten de TouchID-functie om geld te ontfutselen via de toegang tot uw Apple Store-account.

Regel 2. Bescherm uw gegevens: M2, M3, M5

Omdat mobiele apparaten een belangrijke aanvalsvector zijn, lopen de veiligheid en de privacy van data-at-rest en in-transit gevaar. Ontwikkelaars moeten goede praktijken toepassen voor een beveiligde gegevensopslag en communicatie (namelijk, de laatste versie van TLS met verplichte wederzijdse authenticatie, versleutelde opslag en veerkrachtig sleutelbeheer, monitoringtools om de toegang tot het geheugen en de schending ervan te controleren).
Een voorbeeld: datingapps als Tinder of Bumble kregen kritiek voor hun niet-beveiligde gegevensopslag waarbij privégegevens van gebruikers werden gelekt.

Regel 3. Ontwikkel uw eigen toegangscontrolefuncties: M4, M5, M6

Vaak zijn toegangscontrolefuncties zoals authenticatie, autorisatie en encryptie slecht gecodeerd, gebruiken ze niet-beveiligde API-aanroepen of houden ze geen rekening met alle mogelijke aanvalsscenario's. Ontwikkelaars zijn uiteraard geen beveiligingsspecialisten en hebben de hulp nodig van een beveiligingsexpert om te begrijpen hoe ze kritische beveiligingsprocedures zoals authenticatie kunnen implementeren.
Een voorbeeld: de Android Health-app gebruikte een ontoereikende cryptografie voor de opslag van de patiëntengegevens en bracht de patiënten in gevaar.

Regel 4. Let goed op uw code: M7, M8, M9

Omwille van de snelheid waarmee apps worden ontwikkeld, is de code slecht geschreven of onveilig. Reverse engineering is een courant aanvalsscenario om toegang te krijgen tot gevoelige informaties en codes. In alle mobiele apps zouden antivervalsingsmethodes, zoals verduistering, moeten worden gebruikt.
Een voorbeeld: de app van British Airways lekte duizenden kaartnummers van zijn klanten omwille van een slecht geschreven code die werd ontrafeld door reverse engineering.

Door deze vier regels te volgen (of verdedigingscontroles op deze aanvalsoppervlakken in te bouwen) beschermt u zich tegen de meeste aanvallen. 

Wenst u meer te weten? Woon onze workshop bij!

Sirris is op zoek naar softwarebedrijven om inzichten in mobiele beveiliging uit te wisselen. In het kader van het ESF-project organiseren we een uitvoerige workshop rond betrouwbare mobiele apps, die bedoeld is als een pragmatische gids van kritische beveiligingstools en praktijken voor start-ups en scale-ups.

Wat mag u verwachten? Een minimum aan theorie (maar de beveiligingsexperts zullen na de sessie uw vragen wel beantwoorden) en een maximum aan praktijk, tools en training...

Welke onderwerpen komen aan bod?

  • Top 10 van kwetsbaarheden en aanvallen - essentiële noties.
  • Gulden regels voor het opzetten van een veilige mobiele app - doe uw eigen check-up!
  • Beveiligde codering: verduistering, antivervalsingstools en best practices.
  • Beveiliging van uw gegevens: stapsgewijze instructies voor gegevensbescherming, procedures voor de beveiliging van mobiele opslag en communicatie.
  • Automatisering van beveiligingstests: hoe beveiligingsscanners beheren en gebruiken om de kwaliteit van uw code mogelijk te maken en te vrijwaren?
  • Authenticatie en sleutelbeheer: instructies en veelvoorkomende fouten.
  • Beste tools voor het genereren van beveiligingsvereisten.
  • Platformspecifieke tools en kwetsbaarheden.

Vragen? Neem contact met ons op! 

Tags: