Vidéo: 5 idées d'applications à développer (Novembre 2024)
Lors de la rédaction de Mobile Threat Monday, nous vous parlons souvent d'une autre application Android qui divulgue vos informations personnelles. Parfois, cela est dû aux plates-formes publicitaires tierces intégrées dans les applications, mais parfois, il s'agit simplement de mauvaises décisions prises par le développeur de l'application. Jetez un coup d’œil à Starbucks et à leur épisode embarrassant.
Jared Blake, CTO de Moki, nous a expliqué cinq choses simples que les développeurs peuvent faire pour améliorer leurs applications et éviter de faire les gros titres comme Starbucks.
1: Utiliser HTTPS pour tout
Forts de notre expérience personnelle avec notre couverture Mobile Threat Monday, de nombreux développeurs semblent ignorer le protocole SSL lors de la création de leurs applications. Blake dit que c'est juste inacceptable. Il a dit que les communications devraient "toujours se faire en HTTPS. Il n'y a aucune bonne raison de ne pas le faire."
La sécurisation des communications avec SSL annule un certain nombre d'attaques courantes, telles que les attaques de type homme au milieu. Si tout cela vous semble familier, c'est parce que nous en parlons tout le temps. Blake affirme que les développeurs doivent adopter HTTPS, "même si vous vous sentez un peu paranoïaque."
2: N'essayez pas d'inventer votre propre chiffrement
S'agissant de la sécurisation des données, les développeurs ne doivent pas essayer de réinventer la roue. "Tous les principaux systèmes d'exploitation possèdent des infrastructures de cryptage certifiées NIST", a déclaré Blake. Il a déclaré que ces bibliothèques de chiffrement intégrées sont bien établies et ont été validées par des experts. Les développeurs devraient donc en tirer parti.
Cela est important car les applications contiennent fréquemment des données utilisateur critiques telles que des mots de passe et des informations d'identification de connexion. Pour cette information, le texte en clair n'est tout simplement pas suffisant.
3: Nettoyez vos journaux
Dans le cas de Starbucks, les développeurs d'applications ont révélé par inadvertance les informations de connexion et de mot de passe des utilisateurs dans les fichiers journaux de l'application. Cela n'a pas surpris Blake, qui a dit en plaisantant que "les développeurs jetteront n'importe quoi dans un journal".
Cependant, les développeurs doivent examiner attentivement les informations contenues dans ces fichiers, ce qui facilite l'analyse des problèmes liés à l'application et améliore les versions futures.
4: Connaissez votre plateforme
Cela peut sembler évident aux consommateurs, mais Android et iOS sont des plateformes très différentes. Blake dit que cela entraîne à son tour différents problèmes de sécurité sur chaque plate-forme. Ce n’est pas parce que vous avez soigneusement pris en compte les problèmes de sécurité sur Android que votre application sera sécurisée sur iOS.
5: Soyez conscient des informations personnelles et de votre public
Blake craint beaucoup de problèmes auxquels les développeurs sont confrontés avec des informations personnellement identifiables à la pure inexpérience. L'avènement des applications mobiles s'est fait très rapidement et Blake explique que de nombreux développeurs ne "réfléchissent pas aux conséquences de ce qu'ils construisent".
Blake dit que les développeurs doivent se demander si les informations recueillies par leur application sont un sujet de préoccupation des utilisateurs s'ils sont exposés. Si tel est le cas, les informations doivent être soigneusement protégées - ou ne pas être collectées du tout.
Les consommateurs doivent être conscients
Bien entendu, les consommateurs doivent aussi être éduqués. Ils doivent comprendre que même les informations qui paraissent banales, comme un numéro de téléphone ou une adresse électronique, peuvent révéler beaucoup d'informations à leur sujet. Ils doivent également comprendre comment les applications collectent ces informations, ce qui se fait sous Android principalement via des autorisations d'application.
"N'acceptez pas aveuglément ces autorisations, " dit-il. "Pensez-y. Est-ce que je veux vraiment donner à une application l'accès à mon lockscreen? Mes contacts?"
Blake a également mentionné que, bien que certaines applications malveillantes glissent dans le système de validation de Google pour le Play Store, il s'agit toujours d'un endroit très sûr pour obtenir vos applications. "J'ai bien du mal à penser à une situation où quelqu'un distribuerait une application en dehors du Play Store que je voudrais télécharger", a-t-il déclaré.
