¿Cuáles son las mejores prácticas para la seguridad de las aplicaciones móviles?

La adopción móvil es estratégica en todas las industrias hoy en día. Aunque puede ser un gran catalizador para el crecimiento, los riesgos de seguridad que conlleva no pueden pasarse por alto. A pesar de que este hecho está establecido, muchas compañías aún no siguen algunas de las mejores prácticas de seguridad de aplicaciones móviles.

Un estudio realizado por IBM destaca el lamentable estado actual: el 33% de las organizaciones nunca prueban las aplicaciones móviles que desarrollan y el 40% de las empresas, incluidas las compañías Fortune 500, no protegen a los clientes para los que desarrollan aplicaciones.

Aquí hay 5 mejores prácticas esenciales que lo ayudarán a ganar la batalla por la seguridad de las aplicaciones móviles:

  1. Implementar medidas de seguridad a nivel de aplicación.
  2. Asegúrese de que sus empleados descarguen aplicaciones confiables de tiendas de aplicaciones empresariales
  3. Cifre y monitoree los datos entre la aplicación móvil y el servidor web
  4. Use la contenedorización para datos corporativos críticos
  5. Realizar auditorías de seguridad móvil y pruebas de penetración periódicas

Se puede encontrar un análisis detallado de cada uno de los puntos anteriores en este artículo: 5 Mejores prácticas de seguridad de aplicaciones móviles que las empresas no pueden permitirse perder.

Pautas o prácticas de pruebas de seguridad de aplicaciones móviles de Entersoft :

1. Verificación de implementación SSL

Verificar la implementación de SSL es clave para muchas aplicaciones. Esto protege la aplicación de los ataques MITM y también asegura la comunicación entre la aplicación móvil y el servidor.

2. Gestión de información sensible en el lado del cliente.

Una aplicación nunca debe almacenar información confidencial como claves de cifrado, nombre de usuario, contraseñas en preferencias compartidas, archivos, etc. en el grupo local o la memoria. En caso de que una aplicación almacene información confidencial en la base de datos, se recomienda cifrar la base de datos con la biblioteca SQLCipher. La información confidencial debe tenerse en cuenta mientras la aplicación se carga en el mercado.

3. Código de ofuscación

Deben establecerse normas estrictas de ofuscación del código. Las aplicaciones deben cifrar u ofuscar el código para evitar la ingeniería inversa.

4. Identificación de bibliotecas criptográficas obsoletas

Las aplicaciones siempre deben usar los últimos algoritmos criptográficos que son seguros y recomendados. Los desarrolladores de aplicaciones no deben usar su propia implementación de criptografía.

5. Verificaciones de validación tanto del lado del cliente como del lado del servidor

A veces los desarrolladores realizan validaciones solo en el lado del cliente. Esto deja al servidor vulnerable a los ataques MITM. Verifique las validaciones de entrada en todos los escenarios posibles.

6. Sanitización de entrada

Desinfecte las entradas del usuario para liberarlas de caracteres maliciosos. Las aplicaciones deben usar la lista blanca para hacer una lista de caracteres permitidos.

7. Codificar y decodificar

Las aplicaciones siempre deben usar una codificación estándar para codificar las entradas del usuario desde el lado del cliente e implementar el mecanismo de decodificación para decodificar los datos en el cliente que se envían desde el lado del servidor. Todos los estándares de codificación y decodificación serán probados.

8. Implemente sumas de verificación y tokens

Una mejor práctica para los desarrolladores es implementar sumas de verificación en los datos que se pasan del cliente al servidor para verificar la integridad de los datos. Implemente tokens para proteger la aplicación de los ataques CSRF.

9. Encabezados de respuesta seguros

Verifique la implementación de encabezados de respuesta seguros.

10. Prueba de autorización

Autorización de prueba en todos los niveles. Las aplicaciones deben tener recursos en el lado del servidor configurados correctamente en función de los roles de usuario en la aplicación.

11. Gestión de la sesión

Las sesiones deben implementarse adecuadamente para evitar ataques basados ​​en sesiones. Los desarrolladores deben generar sesiones aleatorias y asegurarse de que las sesiones se terminen después de un período de tiempo particular o después de un uso inactivo. Es importante verificar la caducidad de las sesiones después del cierre de sesión o la sesión anterior se puede utilizar para la toma de control de la cuenta.

12. Proteja los componentes del sistema operativo

Una lista de verificación para verificar exported = false para los componentes de la aplicación de Android si no se desea que las otras aplicaciones interactúen con los componentes de su aplicación.

13. Implementando la política de contraseña

La mayoría de las aplicaciones móviles aún utilizan políticas de contraseña débiles. El uso de una contraseña mínima de 8 y asegurarse de que la contraseña contenga al menos un carácter numérico, uno en mayúscula, uno en minúscula y un carácter especial garantizará la seguridad a nivel humano.

14. Implementar Captcha

Para evitar ataques de fuerza bruta, las aplicaciones deben implementar reCAPTCHA de google.

Prueba de seguridad de aplicaciones móviles

Para más detalles: http://blog.entersoftsecurity.co

Lista de verificación para la seguridad de datos y aplicaciones móviles

Al evaluar la seguridad de las aplicaciones móviles, hay tres controles principales que realizan los desarrolladores: del lado del servidor, del lado del cliente y los protocolos según los datos que se mueven entre ellos.

Estas tareas se pueden dividir en las siguientes:

  • Analizar cómo se envía la información a través de Internet.
  • Al verificar la configuración de privacidad
  • Al verificar cómo se guardan los datos
  • Al evaluar la seguridad a través de la prueba de lápiz

Análisis de tráfico web

Hay diferentes maneras a través de las cuales las aplicaciones de iOS intercambian y transfieren datos:… [Haga clic aquí para continuar]

La Lista de verificación de seguridad de aplicaciones móviles se concentra principalmente en los siguientes temas:

1. Protección de datos

2. Gestión de la sesión

3. Privacidad

4. Ingeniería inversa

5. Conexión de red

6. Explotación web del lado del cliente

7. Registro

Mire el video a continuación para obtener más detalles:

More Interesting

Cómo verificar otros usuarios de WhatsApp sin escanear un código

Como desarrollador de software, ¿por qué debería aprender sobre compiladores? ¿Es aplicable en el trabajo en, por ejemplo, una tienda de aplicaciones móviles o inicio de Internet?

¿Qué puedo aprender más rápido: desarrollo de aplicaciones o desarrollo web?

¿Dónde puedo prepararme para desarrollar aplicaciones móviles al precio más bajo?

¿Cómo puede uno convertirse en un desarrollador de aplicaciones móviles exitoso?

Quiero proporcionar un servicio en línea a través de una aplicación. ¿Cuál es el costo para crear una aplicación y los gastos del sitio web?

¿Cuánto tiempo lleva crear un script de clonación de WhatsApp?

¿Puedo crear una aplicación sin escolaridad?

¿Cuáles son las principales razones de la creciente popularidad del desarrollo de aplicaciones de Android?

¿Cuáles son algunas de las mejores empresas de desarrollo de aplicaciones web y / o móviles en Europa?

¿Por qué el código parece tan inflado para el desarrollo móvil o incluso en general cuando se hacen programas complejos?

¿Qué debe tener en cuenta una empresa de desarrollo móvil al crear una aplicación híbrida exclusivamente para fines de chat?

¿Cuánto cuesta hacer una aplicación móvil?

¿Cuál es la mejor práctica para escribir un documento de diseño para una aplicación móvil nativa multiplataforma?

¿Los desarrolladores usarán Xamarin en lugar de Swift y Java para el desarrollo ahora que es gratis con MSDN?