Hola, Estas son las cuatro formas con las que puedes proteger tu aplicación y el código.
1. Asegure el código: crear una aplicación segura
El malware móvil a menudo aprovecha vulnerabilidades o errores en el diseño y la codificación de las aplicaciones móviles a las que se dirigen. Investigaciones recientes de Kindsight informadas por Infosecurity muestran que el código malicioso está infectando a más de 11.6 millones de dispositivos móviles en un momento dado, y el número de muestras de malware móvil está creciendo a un ritmo rápido, aumentando en veinte veces en 2013.
- ¿Por qué las aplicaciones UPI como Phonepe y Tez ofrecen reembolsos por usar UPI a través de su aplicación?
- ¿Puedes usar WebRTC para obtener la misma calidad de video que Wowza en un dispositivo móvil?
- ¿Cuál es el mejor escáner de vulnerabilidades para Android o iOS?
- ¿Cuáles son algunas de las mejores estrategias para mejorar la retención en los juegos móviles gratuitos?
- ¿Cuánto costaría hacer una aplicación multiplataforma con un sistema de inicio de sesión, compra en la aplicación y un motor de búsqueda de cuentas?
Incluso antes de explotar una vulnerabilidad, los atacantes pueden obtener una copia pública de una aplicación y aplicarle ingeniería inversa. Las aplicaciones populares se vuelven a empaquetar en “aplicaciones no autorizadas” que contienen código malicioso y se publican en tiendas de aplicaciones de terceros para atraer y engañar a usuarios desprevenidos para que las instalen y comprometan sus dispositivos.
Las empresas deben buscar herramientas para ayudar a sus desarrolladores a detectar y cerrar vulnerabilidades de seguridad y luego fortalecer sus aplicaciones contra la ingeniería inversa y la manipulación. Sin embargo, las “aplicaciones de consumo” aún representan una amenaza, ya que es posible que no se sometan al proceso de endurecimiento adecuado; y si las aplicaciones no autorizadas, el malware y las aplicaciones empresariales comparten el mismo dispositivo, la amenaza es tangible.
2. Asegure el dispositivo: detección de un entorno de tiempo de ejecución vulnerable y vulnerable
Por segura que sea una aplicación, su seguridad depende de la seguridad del dispositivo subyacente. Los dispositivos liberados o enraizados o la presencia de aplicaciones no autorizadas pueden representar un riesgo de ejecución que puede permitirse para ciertas aplicaciones empresariales pero no para otras.
Las empresas deberían buscar formas de medir dinámicamente la seguridad del dispositivo subyacente. Primero, el entorno limitado de la aplicación móvil, que prevalece en el diseño moderno del sistema operativo móvil, debe estar intacto. Rootear o liberar el dispositivo rompe el modelo de seguridad subyacente, y se recomienda encarecidamente restringir el acceso de estos dispositivos a los datos empresariales. Además, la tecnología jailbreak está evolucionando rápidamente para evadir la detección; Hacer frente a estos mecanismos es esencial para mantenerse al día con estas amenazas.
Sin embargo, el malware móvil no siempre depende del jailbreak del dispositivo. El uso excesivo de permisos para las aplicaciones móviles, que son otorgadas por el usuario, a menudo de manera predeterminada, puede proporcionar a las aplicaciones maliciosas y no autorizadas acceso a servicios básicos (por ejemplo, SMS) utilizados para facilitar actividades fraudulentas.
Las empresas deben considerar fuentes de inteligencia actualizadas y servicios de reputación de aplicaciones para rastrear la ola de aplicaciones y su riesgo asociado, a medida que ingresan a las tiendas de aplicaciones móviles a diario. Con estos datos, las capacidades de la aplicación podrían habilitarse o deshabilitarse en función del perfil de riesgo del dispositivo.
3. Asegure los datos: prevención del robo y fuga de datos
Cuando las aplicaciones móviles acceden a datos empresariales, los documentos y la información no estructurada a menudo se almacenan en el dispositivo. Si el dispositivo se pierde o cuando los datos se comparten con aplicaciones no empresariales, el potencial de pérdida de datos aumenta.
Muchas empresas ya están buscando capacidades de “borrado remoto” para abordar dispositivos robados o perdidos. El cifrado de datos móviles se puede utilizar para proteger los datos dentro del entorno limitado de la aplicación contra malware y otras formas de acceso criminal. Para controlar el uso compartido de datos de la aplicación en el dispositivo, los elementos de datos individuales deben encriptarse y controlarse.
4. Asegure la transacción: controlando la ejecución de transacciones móviles de alto riesgo
Debido a que las aplicaciones móviles permiten a los usuarios realizar transacciones con los servicios empresariales sobre la marcha, la tolerancia al riesgo para las transacciones variará. Por ejemplo, leer contenido relacionado con recursos humanos puede considerarse de bajo riesgo frente a la aprobación de un gran pago a un nuevo proveedor.
Las organizaciones deberían adaptar un enfoque de ejecución de transacciones conscientes del riesgo que restrinja la funcionalidad del lado del cliente en función de políticas que consideren factores de riesgo móviles, como los atributos de seguridad del dispositivo, la ubicación del usuario y la seguridad de la conexión de red, entre otros.
Incluso cuando se permiten transacciones del lado del cliente, las aplicaciones empresariales pueden aprovechar un motor de riesgo móvil de la empresa para correlacionar factores de riesgo como la velocidad de IP (acceso a la misma cuenta desde dos ubicaciones que están muy separadas en un período corto), patrones de acceso de usuarios y acceso a datos perfiles. Este enfoque amplía la capacidad de la empresa para detectar y responder a ataques complejos que pueden abarcar múltiples canales de interacción y eventos de seguridad aparentemente no relacionados.
Protección de aplicaciones móviles empresariales contra amenazas en evolución
IDC espera que casi el 69 por ciento de todos los teléfonos inteligentes utilizados para negocios sean propiedad de los empleados y no de la empresa. Estos dispositivos móviles se están convirtiendo en objetivos más atractivos para los creadores de malware que solo están siguiendo el dinero. Las tasas de crecimiento de BYOD aumentan el riesgo de que los dispositivos personales infecten las redes empresariales.
Para asegurar la fuerza de trabajo móvil en la era de BYOD, los profesionales de seguridad de TI y los ejecutivos de línea de negocios deben considerar cómo la movilidad afecta su perfil de riesgo comercial. El marco propuesto considera el dispositivo, los datos, la aplicación y la transacción como componentes de un único continuo que debe asegurarse para minimizar el riesgo comercial asociado con la movilidad; se trata de encontrar un equilibrio entre usabilidad y mitigar el riesgo. El marco de seguridad móvil apropiado permitirá a las empresas cosechar las ganancias de productividad y mejorar la satisfacción de los empleados al tiempo que limita la exposición a su información crítica y activos comerciales.
Fuente: Mobile App Security Essentials: 4 maneras de proteger mis aplicaciones