Советы по созданию безопасного мобильного приложения на Android

Мобильные приложения для Android должны обладать определенной степенью безопасности. В 2019 году хакеры атаковали более 19 млн пользователей РФ. Часть проблем была связана с сохранением большого количества личных данных в кэше, а также отсутствием проверок безопасности.

Сегодня мы расскажем, что нужно сделать, чтобы ваш продукт было сложнее взломать.

1. Что мы понимаем под безопасностью мобильных приложений?

Такое приложение не позволит злоумышленникам узнать конфиденциальные данные пользователей. Это касается логинов, паролей от аккаунтов, данных о платежах и т.д. Взлом напрямую влияет на репутацию компании, поэтому крупные фирмы уделяют так много внимание защите своих продуктов.

          Что делать для защиты?

Поделимся тем, чем должен заниматься Android-разработчик.

          Тестирование

До 40% разработчиков не тестируют свои мобильные приложений на предмет безопасности. Поэтому базовая проверка будет намного лучше, чем ее отсутствие.

          Предоставление правильных разрешений

Когда вы что-то устанавливаете на телефон, приложение может запросить доступ к звонкам, уведомлениям, видеокамере и т.д. Сделайте так, чтобы конфиденциальные данные пользователей не попадали в базу данных без нужды. К примеру, за разрешения нередко ответственен файл AndroidManifests, где разрешения можно отключить.

          Защищенные хранилища для конфиденциальных данных

Есть разные способы обеспечить безопасность хранилища. Одним из них является создание защищенных ключей Android. Это такой файл, в котором вся информация зашифрована. Также можно воспользоваться системой хешей. Это когда данные зашифровываются в виде набора символов. Если изменить один из них - доступ к информации получить не получится.

          Хранение в файлах кэша только не конфиденциальных данных

Так раскрытие конфиденциальной информации будет сведено к минимуму, так как другие приложения не получат доступ к кэшу. Сам кэш тоже можно шифровать.

          Использовать многофакторную аутентификацию и предупреждения

Это когда человек после ввода пароля может получить сообщение на почту о том, что в его аккаунт был выполнен вход. Пароль имеет значение, слабые коды взламываются очень быстро, поэтому такие сообщения, как минимум, помогут предотвратить взлом.

          Обфускация кода

Обфускация - это шифрование кода. Она нужна для того, чтобы когда злоумышленники получили к нему доступ, они не понимали, что читают. Таким образом, приложение будет намного сложнее перепроектировать. Для обфускации используйте приложение ProGuard. Можно сделать это вручную, но на первых порах такой подход будет занимать слишком много времени.

          Работа с внешними хранилищами

Система Android не применяет серьезных мер безопасности по отношению к данным, хранящимся во внешнем хранилище. Поэтому они являются целью злоумышленников. Новичку в этой сфере достаточно знать две вещи:

• При потребности получить информацию, приложение обращается к определенным директориям. Зону доступа для продукта можно ограничить.
• Если файл не содержит конфиденциальной информации, но представляет важность для пользователя - хранить его нужно в конкретной директории приложения.
  

Эти два совета - неплохой способ перенести часть нагрузки из внутренних хранилищ.

          Использование HTTPS

HTTP - это протокол, при помощи которого техника передает информацию по определенным правилам. Они не обеспечивают должной защиты, поэтому была придумана HTTPS, при использовании которой данные зашифровываются.

          Принудительный выход из сеанса

В этом случае есть две стадии:

1. Человек зарегистрировался, но долгое время не заходил в аккаунт через приложение. В таком случае можно принудительно осуществлять выход из системы. Так злоумышленникам будет сложнее получить доступ к данным: в случае проникновения в приложение данные от аккаунта получить не выйдет.
2. Принудительный выход в случае взлома. Дополнительная мера безопасности, препятствует воровству аккаунтов.
   

Также можно придумать систему восстановления доступа, для этого используется email.

Разбираем тестирование системы безопасности

Есть несколько рабочих способов это сделать. Но все они направлены на анализ кода.

          Статистическое тестирование

Это когда вы оцениваете код без запуска приложения. Скорее всего, вы просто будете интегрировать его в специальную платформу, которая и будет заниматься проверкой.

          Динамическое тестирование

Здесь код, наоборот, оценивается в меньшей степени. Больше внимание обращают на то, как ведет себя приложение. То есть мы смотрим на систему с точки зрения пользователя. Например, у него украли аккаунт, поэтому нужно его вернуть путем восстановления логина и пароля. Мы проверяем, как работает этот элемент в самом приложении.

          Инструменты автоматического сканирования

Помогают выявить угрозы и проблемы без ручной проверки программиста и тестировщика.

          Проверка на уязвимости

Это то, чем занимаются белые хакеры. Они стараются найти в приложении слабину, чтобы взломать его. Но если вы занимаетесь разработкой в одиночку и хотите хакнуть собственное приложение - проведите мозговой штурм.

Так как в одиночку сложно создать хорошую проверку системы безопасности приложения, даем несколько полезных программ:

• Veracode. Специализируется на статистическом и динамическом анализе кода. Помогает улучшить безопасность в том числе с помощью искусственного интеллекта.
• Netsparker. Это облачный сервис, занимающийся обнаружением уязвимостей. Быстрое сканирование поможет избежать распространенных ошибок.
  
• Acunetix. Еще одна платформа, способная помочь найти бреши в приложении. Она имеет несколько типов сканирования, а также работает с файлами.
  

При создании приложения проверка кода должна быть одним из этапов разработки.

4 совета

Они помогут получить представление о том, как люди могут работать с безопасностью мобильных приложений:

1. Обезопасьте данные кэша по максимуму. К примеру, в некоторых приложениях после выхода пользователя из аккаунта он все равно остается в приложении. Над этим нужно поработать, чтобы таких проблем не было.
2. Использование приложений по повышению безопасности. Они могут иметь разное предназначение: помогать проанализировать код и выявить слабые места в безопасности. обеспечить хорошее тестирование и т.д.
   
3. Если в приложении есть транзакции - оно с большей вероятностью станет целью для злоумышленников. Поэтому здесь безопасности нужно уделять особое внимание.
   
4. Напоминайте пользователям о том, что не нужно передавать конфиденциальные данные другим.
   

Также помогает консультация со специалистами на тему безопасности. Они могут дать дельные советы.