Vấn đề bảo mật trong các trình ứng dụng di động

Thảo luận trong 'Thủ thuật/Hỏi đáp/Thắc mắc phần mềm' bắt đầu bởi mylove1210, 9/11/10.

  1. mylove1210

    mylove1210 take a rest

    Bài viết:
    108
    Vấn đề bảo mật trong các trình ứng dụng di động

    Báo cáo về vấn đề bảo mật trong các trình ứng dụng ngân hàng di động cho PayPal, ngân hàng Chase, và các tổ chức khác đã làm nổi rõ một số thách thức đối với vấn đề bảo mật mà các nhà phát triển ứng dụng di động đang phải đối mặt.
    [​IMG]
    Các ngân hàng di động đã xuất hiện ngày càng nhiều trên thế giới. Trong tháng Bảy, IDC cho biết số lượng người sử dụng ngân hàng di động đã tăng gấp đôi theo như số liệu từ các cuộc điều tra hàng năm của IDC về vấn đề này.
    Nhưng sự phát triển nhìn chung sẽ có thể không tương thích với vấn đề bảo mật. Đã xuất hiện một số rắc rối trong thời gian gần đây có liên quan đến các trình ứng dụng di động tại rất nhiều các hãng lớn trên thế giới như Wells Fargo và Paypal. Theo viaForensics, các rắc rối trên bao gồm cả sự thất bại trong việc lưu giữ mật khẩu và tên người sử dụng. Điều này làm dấy lên những lo ngại về vấn đề bảo mật của các trình ứng dụng di động.
    "Các thiết bị di động tự nó không thể được coi là đáng tin cậy, các thiết bị hoàn toàn có thể bị mất và bị đánh cắp bất kỳ lúc nào," Theo Richard Wang, giám đốc của SophosLabs, nhân viên nghiên cứu của hãng bảo mật Sophos.
    "Theo tôi, những vụ việc trên cho thấy tình trạng thiếu kinh nghiệm của các nhà thiết kế trình ứng dụng di động trong vấn đề bảo mật. Các mối đe dọa đối với máy tính tồn tại rất lâu trước khi ngân hàng trực tuyến đã trở thành phổ biến vì vậy các nhà thiết kế phải xây dựng chương trình an ninh từ việc khởi động ... lưu trữ tên và mật khẩu trong văn bản gốc trên thiết bị là một sai lầm."
    Ông Dan Cornell, CTO của Denim Group cho biết sự khác biệt lớn giữa các ứng dụng di động và các ứng dụng Web là ở chỗ các ứng dụng Web lưu trữ dữ liệu của họ và mã lập trình chủ yếu ở phía máy chủ, trong khi các ứng dụng di động lại lưu hầu hết các mã và rất nhiều dữ liệu của họ trên chính thiết bị của mình.
    "Đối với các ứng dụng di động, hầu hết các mã ứng dụng và dữ liệu nằm trên thiết bị và các thiết bị này lại nằm dưới sự kiểm soát của những kẻ tấn công," Cornell nói. "Khi người sử dụng triển khai một ứng dụng di động cho tổ chức của mình, họ sẽ phải tính đến khả năng những kẻ tấn công sẽ cài đặt các thiết bị trên điện thoại của chúng và sau đó có thể kiểm tra các ứng dụng. Tôi đã có một bài trình bày trực tuyến trong đó có nêu một số mã thể hiện cách thức cách kẻ tấn công đã hành động như thế nào. Điều này cho phép kẻ tấn công có thể hoàn toàn đánh cắp được mã chạy các ứng dụng trong nhiều trường hợp. "
    Rutul Dave, quản lý tiếp thị kỹ thuật tại Coverity và đã từng là nhà thiết kế phần mềm cho biết nhiều nhà phát triển ứng dụng và các nhà cung cấp phần mềm điện thoại đã sử dụng phần mềm được thiết kế để chạy trên các hệ thống máy tính truyền thống và tùy biến cho điện thoại di động để có thể gia nhập thị trường nhanh hơn. Đây là một chiến lược hiệu quả, ông nói, nhưng lại làm xuất hiện những mối quan ngại về an ninh và bảo mật.
    "An ninh cần phải được giải quyết trong việc phát triển các phần mềm và trong mã phần mềm," ông nói. "Bất cập hàng đầu của những nhà phát triển có kinh nghiệm trong phát triển ứng dụng cho điện thoại di động là thật khó để tìm thấy các nhà thiết kế có thể hiểu biết vấn đề bảo mật trên nền tảng điện toán mới."
    "Điểm chung trong mối quan tâm vấn đề an ninh cho các ứng dụng web và các ứng dụng di động là chúng đều được kết nối mạng, do đó, những kẻ tấn công hoàn toàn có thể truy cập" Ông cũng cho biết thêm. "Tuy nhiên, do các trình ứng dụng đang chạy trên các thiết bị di động hiện thời là các phần mềm được thiết kế để chạy trên các nền tảng có nhiều điểm khác biệt so với những nền tảng điện toán truyền thống, do đó, những đe dọa về vấn đề bảo mật sẽ mang thêm màu sắc mới”.
    Dave cho biết, tình hình càng trở nên phức tạp bởi vì các ứng dụng di động không có vùng đệm an ninh bổ sung của các bức tường lửa và phần mềm bảo mật có sẵn trên các hệ thống máy tính đầy đủ chính thức. Do đó, đang tồn tại rất nhiều nền tảng, - mỗi nền tảng trong số đó lại đang vướng phải những rắc rối bảo mật riêng của mình.
    Thật may mắn là vẫn còn có những cách thức thiết kế ứng dụng di động đúng đắn mà các nhà thiết kế có thể quan tâm đến. Cornell cho biết một trong số đó chính là việc lưu giữ những dữ liệu nhạy cảm trên máy chủ bất cứ khi nào có thể, và để viết tất cả phần của trình ứng dụng trên máy chủ theo cách mà họ có thể xác nhận các thông tin được gửi từ các phần mềm điện thoại thông minh.

    Cornell nói thêm ngoài ra có những cách thức khác như sớm thực hiện việc mô hình hóa các mối đe dọa liên quan đến bảo mật trong quá trình thiết kế và thử nghiệm phần mềm.
    “Tất cả các nhà thiết kế chắc chắn không phải đều là các chuyên gia, nhưng họ nên có một số kiến thức cơ bản tối thiểu và hầu hết các nhóm cần được tư vấn từ chuyên gia bảo mật có nhiều kiến thức và kinh nghiệm hơn.Các nhóm thiết kế trình ứng dụng di động cần được hướng dẫn về các tính năng bảo mật của nền tảng phát triển di động mà họ lựa chọn cũng như cần được trả lời bất kỳ thắc mắc nào liên quan đến vấn đề này”.

    (Theo Eweek)
     
    :
    mylove1210, 9/11/10
    #1

Chia sẻ trang này