Κορυφαίοι 7 μύθοι που πρέπει να γνωρίζετε για τη δοκιμή ασφάλειας εφαρμογών για κινητά

Η εκθετική αύξηση της χρήσης κινητής τηλεφωνίας άλλαξε δραστικά τον τρόπο που εργάζονται και ζουν οι άνθρωποι. Σύμφωνα με τον Statesman , η κίνηση στο Διαδίκτυο για κινητά έχει παρατηρήσει μια εκπληκτική αύξηση από 48,8% σε 64,3% παγκοσμίως. Χάρη στις συνεχείς καινοτομίες στις εφαρμογές για κινητά, τα κινητά οικοσυστήματα γίνονται όλο και πιο εξελιγμένα με την ώρα.

Δεδομένου ότι η εμπειρία των χρηστών είναι η κρίσιμη πτυχή που κάνει ή διακόπτει μια εφαρμογή, το έκανε μάλλον δύσκολο για τις επιχειρήσεις να αναβαθμίζουν συνεχώς τις προσφορές τους και να προσφέρουν μια βέλτιστη εμπειρία χρήστη εντός αυστηρών προθεσμιών.

Δεν υπάρχει αμφιβολία ότι η δοκιμή εφαρμογών για κινητά έχει καταστεί ζωτικό στοιχείο της διαδικασίας ανάπτυξης εφαρμογών για κινητά για την παροχή ισχυρών εφαρμογών.

Ωστόσο, πολλοί μύθοι περιβάλλουν αυτήν την ιδέα. Σε αυτό το άρθρο, θα αποδεσμεύσουμε τους μύθους και θα εξηγήσουμε γιατί η δοκιμή ασφάλειας για κινητά είναι η ανάγκη της ώρας. Αλλά πρώτα, ας καταλάβουμε τι σημαίνει ο όρος.

Τι είναι ο έλεγχος ασφάλειας εφαρμογών για κινητά;

Σύντομη για MAST, είναι η διαδικασία γρήγορης εφαρμογής κώδικα διακομιστή, κώδικα πελάτη και ανάλυσης τρίτου μέρους για τον εντοπισμό και την επιδιόρθωση τρωτών σημείων ασφαλείας σε εφαρμογές για κινητά χωρίς την ανάγκη πηγαίου κώδικα.

Αυτή η μορφή δοκιμών πραγματοποιείται για + επιβεβαίωση της εφαρμογής που συλλέγει μόνο τις απαιτούμενες πληροφορίες. Έτσι, αποτρέποντας την μη εξουσιοδοτημένη πρόσβαση και την τροποποίηση δεδομένων κατά τη χρήση.

ρίζα sph-l710

Γιατί είναι σημαντική η ασφάλεια εφαρμογών για κινητά;

Σύμφωνα με τον Γκάρτνερ , Το 90% των εταιρειών δοκιμάζουν σήμερα τις εφαρμογές τους για κινητά για ευπάθειες ασφαλείας. Σοκαριστικά, οι κυβερνοεπιθέσεις κοστίζουν κατά μέσο όρο τις αμερικανικές επιχειρήσεις 1,2 εκατομμύρια δολάρια ετησίως, ενώ οι μικρομεσαίες επιχειρήσεις πρέπει να διαχειριστούν τη ζημιά των 117.000 $.

Επομένως, ανεξάρτητα από το αν η λύση της εφαρμογής Android ή iPhone εμπίπτει σε παιχνίδια, τραπεζικές συναλλαγές, ηλεκτρονικό εμπόριο ή οποιονδήποτε άλλο τομέα, πρέπει να διασφαλίσετε έναν τακτικό έλεγχο ασφαλείας για να αποφύγετε μεγάλες απώλειες. Επιπλέον, εάν δεν δοκιμάσετε και ενημερώσετε τα μέτρα ασφαλείας της εφαρμογής σας μετά την κυκλοφορία, τα δεδομένα των πελατών σας ενδέχεται να διατρέχουν κίνδυνο. Το κόστος μιας παραβίασης δεδομένων για επιχειρήσεις αυξήθηκε κατά έντεκα% από το 2017.

Επομένως, χωρίς ένα ακριβές πρωτόκολλο ασφάλειας, διατρέχετε διαρκή απειλή έκθεσης δεδομένων και επιθέσεων στον κυβερνοχώρο που θα έχουν ως αποτέλεσμα την απώλεια εσόδων και την εμπιστοσύνη των πελατών σας - και οι δύο είναι δύσκολο να ανακτηθούν. Κατώτατη γραμμή: κάντε τη δοκιμή ασφάλειας εφαρμογών για κινητά μέρος της διαδικασίας σχεδιασμού σας από την αρχή.

γενικό σφάλμα προγράμματος οδήγησης οθόνης pnp

Τεχνικές για να κάνετε την εφαρμογή σας χωρίς σφάλματα;

Οι υπεύθυνοι δοκιμών εφαρμογών για κινητά πρέπει να διεξάγουν την ακόλουθη δοκιμή για να διασφαλίσουν ότι η εφαρμογή είναι ασφαλής και ασφαλής:

• Δοκιμή beta
• Δοκιμή εισόδου
• Ειδικό υλικό
• Έλεγχος αναμονής και μπαταρίας
• Δοκιμή εγκατάστασης και ενημέρωσης

Αποσυναρμολόγηση μύθων σχετικά με την ασφάλεια εφαρμογών για κινητά

# Μύθος 1: Ο έλεγχος απαιτείται μόνο για εφαρμογές που ασχολούνται με ευαίσθητες πληροφορίες.

Θα ήταν ωραίο εάν η δοκιμή είναι απαραίτητη για εφαρμογές για κινητά που ασχολούνται με ευαίσθητες πληροφορίες, αλλά δεν είναι αλήθεια. Οι χάκερ δεν ενδιαφέρονται μόνο για τη συλλογή της εικόνας προφίλ, της διεύθυνσης email και των στοιχείων της πιστωτικής κάρτας των πελατών.

Ενδιαφέρονται επίσης για τυχόν προσωπικά αναγνωρίσιμες πληροφορίες [PII], όπως διεύθυνση κατοικίας, αριθμό κινητού τηλεφώνου, διεύθυνση IP, η οποία μπορεί να χρησιμοποιηθεί για τον εντοπισμό μιας μεμονωμένης ταυτότητας ή ενός συγκεκριμένου ατόμου.

Τέτοια ευαίσθητα δεδομένα πωλούνται στη συνέχεια σε διαδικτυακές μαύρες αγορές και spammers που στη συνέχεια τα χρησιμοποιούν για να κάνουν κλήσεις απάτης για αιτήσεις δανείου, να αγοράσουν πιστωτικές κάρτες, να κάνουν μεταφορά χρημάτων και πολλά άλλα. Εν ολίγοις, πληροφορίες που μπορεί να μην φαίνονται ιδιωτικές πρέπει επίσης να προστατεύονται στην εφαρμογή για κινητά για να αποφευχθούν τυχόν διαρροές δεδομένων.

# Μύθος 2: Ο έλεγχος πραγματοποιείται μετά την ανάπτυξη της εφαρμογής.

Πηγαίνουν εκείνες τις ημέρες που μια εφαρμογή για κινητά θα δοκιμαζόταν στην τελική φάση ανάπτυξης. Σήμερα, η ανάπτυξη και οι δοκιμές συμβαδίζουν. Όταν γίνει αυτό, η ομάδα QA μπορεί γρήγορα να αναφέρει σφάλματα και σφάλματα που θα διορθωθούν από τους προγραμματιστές. Δεδομένου ότι ακόμη και μια αλλαγή κατά 10% στον κώδικα δοκιμάζεται εκ των προτέρων, ολόκληρος ο κύκλος ανάπτυξης συρρικνώνεται χωρίς να προκαλεί περιττές αυξήσεις στον προϋπολογισμό της εταιρείας. Η εύρεση και η διόρθωση δυσλειτουργιών στην εφαρμογή αφού έχει αναπτυχθεί πλήρως καθυστερεί μόνο την κυκλοφορία της αγοράς και καίει μια τρύπα στην τσέπη των επιχειρήσεων. Ακολουθήστε αυτό το απλό αναλυτικός οδηγός για την ανάπτυξη εφαρμογών iPhone και πραγματοποιήστε μια διεξοδική δοκιμή ασφάλειας εφαρμογών για κινητά για ανώτερα αποτελέσματα για τις εφαρμογές σας iOS.

# Μύθος 3: Οι εφαρμογές δοκιμών σε εξομοιωτές είναι επαρκείς.

Αν και το πρόγραμμα μπορεί να αποφέρει καρπούς στο αρχικό στάδιο ανάπτυξης, δεν εγγυάται ποιοτικές εφαρμογές μακροπρόθεσμα - με οποιονδήποτε τρόπο. Καθώς οι εξομοιωτές δεν περιέχουν υλικό [π.χ. chipset και μνήμη], δεν μπορούν να εκτελέσουν συμβάντα σε πραγματικό χρόνο όπως αποστράγγιση μπαταρίας, ορατότητα οθόνης ή υπερθέρμανση σε εξωτερικούς χώρους.

Επιπλέον, οι δοκιμές σε εξομοιωτές δεν θα έδιναν σαφή εικόνα της απόδοσης της εφαρμογής για κινητά σε διαφορετικές πλατφόρμες, όπως το Android και το iOS. Εάν θέλετε να δημιουργήσετε μια εφαρμογή που να λειτουργεί καλά, πραγματοποιήστε πραγματικές δοκιμές συσκευών για ακριβή αποτελέσματα. Θα βοηθήσει την ομάδα QA να εντοπίσει τα σφάλματα που αντιμετωπίζουν οι χρήστες σε πραγματικό χρόνο. Ένας από τους καλύτερους και ευκολότερους τρόπους διεξαγωγής δοκιμών για κινητά είναι σε μια συσκευή cloud.

nvidia windows 10 μαύρη οθόνη

# Μύθος 4: Η δοκιμή εφαρμογών για κινητά είναι παρόμοια με τη δοκιμή εφαρμογών ιστού.

Όχι, αυτό είναι εντελώς αναληθές! Υπάρχει μια λανθασμένη αντίληψη ότι οι εφαρμογές για κινητά και οι εφαρμογές ιστού έχουν τα ίδια εργαλεία και τεχνικές δοκιμών. Ωστόσο, οι δοκιμές ασφάλειας εφαρμογών ιστού γεφυρώνουν τον κώδικα της εφαρμογής ιστού και τα API χρησιμοποιώντας εργαλεία SAST. Αυτό σημαίνει ότι το πρόγραμμα περιήγησης είναι απομονωμένο από τον υπολογιστή-πελάτη όπου όλοι οι κώδικες βρίσκονται πίσω από το τείχος προστασίας στον διακομιστή και ο πρώτος χειρίζεται την επικοινωνία με ασφάλεια.

Οι εφαρμογές για κινητά, από την άλλη πλευρά, διαθέτουν λειτουργικό σύστημα πλήρους συσκευής κάτω από αυτά. Δεδομένου ότι οι εφαρμογές αλληλεπιδρούν με άλλες εφαρμογές, αυτή η ρύθμιση μπορεί να είναι κακόβουλη. Αυτό καθιστά τη δοκιμή ασφάλειας εφαρμογών για κινητά πιο περίπλοκη. Ένα σταθερό μάτι πρέπει να διατηρείται στα δεδομένα καθώς αλληλεπιδρά με τη συσκευή και όταν τα δεδομένα μεταδίδονται μέσω του δικτύου.

# Μύθος 5: Μια συσκευή με Android και iOS είναι αρκετή για δοκιμή.

Καθώς οι πλατφόρμες Android και iOS είναι πολύ διαφορετικές όσον αφορά τις προδιαγραφές, όπως μνήμη, chipset, εκδόσεις λειτουργικού συστήματος, αναλύσεις οθόνης, ο έλεγχος της εφαρμογής μόνο σε επιλεγμένες κινητές συσκευές από την Google και την Apple δεν θα λειτουργήσει. Καθώς η συμπεριφορά της εφαρμογής διαφέρει σε διαφορετικές εκδόσεις λειτουργικού συστήματος, η βελτιστοποίηση μιας εφαρμογής για ένα εκτεταμένο εύρος συσκευών είναι απαραίτητη για τη διασφάλιση της βέλτιστης εμπειρίας χρήστη. Επομένως, η ομάδα ανάπτυξης θα πρέπει να καλύπτει το μέγιστο λειτουργικό σύστημα και πλατφόρμες για ολοκληρωμένες δοκιμές.

# Μύθος 6: Αρκεί ο έλεγχος στατικού πηγαίου κώδικα για κινητά.

Δεν είναι αλήθεια. Οι δοκιμές στατικής ασφάλειας της εφαρμογής [SAST] χάνουν δύο μεγάλες ομάδες της επιφάνειας επίθεσης του κινητού, οι οποίες είναι δεδομένα σε κατάσταση ηρεμίας και δεδομένα σε κίνηση Για παράδειγμα. Δεν αντιμετωπίζει ζητήματα αποθήκευσης σημαιών, όπως μια αποκρυπτογραφημένη μπρελόκ, προσωρινή αποθήκευση δεδομένων, δεδομένα σε αρχεία καταγραφής ή κάρτα SD.

Ούτε αξιολογεί τις ευπάθειες κατά τη μετάβαση δεδομένων, όπως παραβίαση συνεδρίας, πλαστό πιστοποιητικό TLS και ακατάλληλη επικύρωση TLS. Επομένως, για να πραγματοποιήσετε μια σωστή δοκιμή, πρέπει να κάνετε λήψη της εφαρμογής για κινητά στη συσκευή που ονομάζεται δυναμική δοκιμή. Ένας συνδυασμός στατικών και δυναμικών δοκιμών μπορεί να σας βοηθήσει να αποκτήσετε μια ακριβή εικόνα του τρόπου λειτουργίας της εφαρμογής σας.

Αυτός ο δίσκος blu-ray χρειάζεται βιβλιοθήκη για αποκωδικοποίηση aacs και το σύστημά σας δεν το έχει. vlc

# Μύθος 7: Οι εφαρμογές για κινητά είναι ασφαλείς επειδή η Apple και η Google τις δοκιμάζουν.

Στην πραγματικότητα, οι δύο τεχνολογικοί γίγαντες επικεντρώνονται στην ενεργοποίηση ενός οικοσυστήματος για εφαρμογές για κινητά. Αξιοποιούν εργαλεία και πλαίσια που βοηθούν τους προγραμματιστές να δημιουργούν ασφαλείς και επεκτάσιμες εφαρμογές για κινητά. Ελέγχουν εάν η εφαρμογή συμμορφώνεται με τις οδηγίες API τους και είναι απαλλαγμένη από κακόβουλο λογισμικό και στατικές ευπάθειες. Ωστόσο, δεν ελέγχουν τη διαρροή δεδομένων, τα ζητήματα απορρήτου ή τις βιβλιοθήκες τρίτων που χρησιμοποιεί μια εφαρμογή για κινητά. Έτσι, είναι προφανές ότι η ευθύνη της ομάδας ανάπτυξης είναι να κάνει τον κώδικα ασφαλή.

Τυλίξτε το

Εάν έχετε δοκιμάσει ελαφρά τη δοκιμή ασφάλειας εφαρμογών για κινητά, ελπίζουμε ότι αυτό το άρθρο θα σας κάνει να καθίσετε και να λάβετε ειδοποίηση. Δεν μπορείτε να παίξετε με τα δεδομένα των πελατών σας, ούτε μπορείτε να εμποδίσετε τη φήμη της επωνυμίας σας κατά τη διαδικασία.