IT-systemen en computers zijn niet de enigen die te lijden hebben onder inbreuken op de beveiliging: ook mobiele apparaten en toepassingen zijn zeer kwetsbaar voor cyberaanvallen. mobiele apparaten en toepassingen zijn ook zeer kwetsbaar voor cyberaanvallen. Bepaalde kwetsbaarheden komen vaker voor in dit soort technische omgevingen en het is essentieel om ze te detecteren, vanaf de aanmaakfase van een applicatie tot het einde van de levenscyclus.
I - Veiligheid op Android en iOS: twee kamers, twee sferen
Op de smartphonemarkt overheersen twee besturingssystemen: iOS en Android. Tegen juni 2021 zullen ze samen een marktaandeel van 99,9% hebben op de Franse markt.
Bron : Apple of Android Natie? Statista
Beide besturingssystemen hebben hun eigen specifieke kenmerken wat betreft de ontwikkeling van toepassingen. Terwijl iOS-toepassingen hoofdzakelijk in Objective-C worden geprogrammeerd, wordt op Android Java gebruikt.
Hetzelfde geldt voor de installatie, de configuratie, de programmeeromgeving, het ontwerp, het testen en het beheer van de cyberbeveiligingsstrategie.
II - De belangrijkste soorten kwetsbaarheden in mobiele toepassingen
Alvorens de belangrijkste in mobiele toepassingen waargenomen kwetsbaarheden op te sommen, is het belangrijk te bedenken dat er twee categorieën van gebreken in dit soort software zijn: ongewenst gedrag en kwetsbaarheid.
Ongewenst gedrag treedt onverwacht op door het uitvoeren van onnodige acties op de achtergrond van de toepassing.
De term kwetsbaarheid wordt gebruikt wanneer de fout niet het gevolg is van het gedrag van de gebruiker, maar van de structuur van de toepassing zelf.
Kwetsbaarheid #1: Gebrek aan jailbreakdetectie
Jailbreaking, ook bekend als unlocken, is een proces waarmee een gebruiker de beveiligingsbeperkingen van een besturingssysteem aan de basis kan omzeilen. Deze methode wordt vooral gebruikt op iOS om toepassingen te downloaden die niet beschikbaar zijn op de officiële markt (zoals Cydia, dat bekend is bij 'jailbreakers ').
Toepassingen die in een ontgrendelde omgeving draaien, blijven kwetsbaarder en hiermee moet rekening worden gehouden bij de ontwikkeling van een toepassing via jailbreak-detectiesystemen.
Kwetsbaarheid 2: Vervoersprotocollen zijn onvoldoende beschermd
Het doel van de transportprotocollen TPC(Transmission Control Protocol) en IP(Internet Protocol) is het overbrengen van gegevens van de ene machine naar de andere.
Lees ook meer over 3 soorten cyberaanvallen waaraan uw bedrijf blootstaat.
Bron: Hoe veilig is het TCP/IP-protocol? BBC
Of het nu op het web is of in een applicatie, het is essentieel dat de gegevens die tussen de verschillende lagen circuleren veilig zijn. Anders bestaat het risico dat ze worden onderschept door kwaadwillende partijen. Om transportprotocollen te beveiligen, is de beste praktijk om een gegevensversleutelingsproces op te zetten en je applicaties te hosten op cloud.
Kwetsbaarheid #3: Inbreuk op de authenticatie
Gebroken authenticatie doet zich voor wanneer een aanvaller een authenticatiesysteem in gevaar brengt door een wachtwoord, sessie-ID, aanmeldingssleutel of andere aanmeldingsgegevens te stelen. Deze veel voorkomende inbreuken resulteren in drie soorten aanvallen:credential stuffing,brute krachttoegang ensessiekaping.
De gevolgen van een gebrekkige authenticatie kunnen inbreuken op gegevens, identiteitsdiefstal of kaping zijn. Om dit probleem op te lossen, moeten gebruikers gedwongen worden om complexe wachtwoorden aan te maken.
Kwetsbaarheid 4: Geen of ongeldig beveiligingscertificaat
Voor de beveiliging van toepassingen is ook een encryptieprotocol nodig. Het SSL/TLS-certificaat is niet beperkt tot websites, maar geldt ook voor mobiele toepassingen. Veel toepassingsservers beschikken echter niet over een geldig SSL/TLS-certificaat.
Het installeren van een SSL/TLS-certificaat op uw server is essentieel en zorgt ervoor dat gebruikersgegevens, zowel opgeslagen als in transit, beschermd blijven en niet worden gecompromitteerd.
Kwetsbaarheid 5: Ontbreken van een vervalprocedure
Een sessie is de periode gedurende welke een gebruiker actief is op uw site of applicatie. Als het proces voor het aflopen van een sessie van een toepassing ontoereikend is (of zelfs geheel ontbreekt), wordt de account van de gebruiker blootgesteld aan aanvallen en het schenden van zijn persoonsgegevens.
Er moet dus een evenwicht worden gevonden tussen UX (de gebruiker niet opnieuw vragen in te loggen om de ervaring minder aangenaam te maken) en de veiligheid van de toepassing.
Kwetsbaarheid #6: Slechte controle van de deserialisatie van gegevens
In programmatische taal is data deserialisatie het extraheren van data uit een stroom en het converteren naar een formaat dat bruikbaar is voor de applicatie. Deserialisatie-engines zijn vaak het doelwit van aanvallen. Om dit te voorkomen, is het essentieel om altijd de bron van de gegevens te controleren en geen geserialiseerde objecten van niet-goedgekeurde bronnen te accepteren.
Kwetsbaarheid #7: Gebruik van bekende kwetsbare onderdelen
Niet alle componenten, frameworks en API's zijn gelijk geschapen als het op cyberbeveiliging aankomt. Sommige API's - zelfs populaire - zijn kwetsbaar voor cyberaanvallen, en het is belangrijk om hun betrouwbaarheid te garanderen voordat u ze in uw applicatiestructuur integreert.
Kwetsbaarheid #8: Inadequate cyberbeveiliging
Indien er in de organisatie een cyberbeveiligingsstrategie bestaat, moet de vrijgave van een applicatie ten minste voldoen aan de vastgestelde regels. Het kan echter gebeuren dat de bestaande strategie niet in toepassingsspecifieke regels voorziet, of dat zij onnauwkeurig of onvolledig is. In dit geval moet de beveiligingsnorm worden vastgesteld.
Zo kan bijvoorbeeld een mobiele backend worden opgezet. Dit houdt in dat een bemiddelende ruimte wordt gecreëerd tussen de uitwisseling van gegevens over het bedrijf en de veiligheid aan de kant van de klant. De mobiele backend zal het enige toegangspunt voor toepassingen tot het informatiesysteem zijn. Het zal waarschuwingen genereren voor IT-teams in geval van ongepast gebruik en zal op een echt veilige manier, bijvoorbeeld via VPN, verbinding maken met het informatiesysteem van het bedrijf. We kunnen bijvoorbeeld plannen om een mobiele backend op te zetten. Dit houdt in dat een bemiddelende ruimte wordt gecreëerd tussen de uitwisseling van gegevens over het bedrijf en de veiligheid van de klant. De mobiele backend zal het enige toegangspunt voor toepassingen tot het informatiesysteem zijn. Het zal waarschuwingen genereren voor IT-teams in geval van ongepast gebruik en zal op een echt veilige manier, bijvoorbeeld via VPN, verbinding maken met het informatiesysteem van het bedrijf.
Conclusie
Mobiele toepassingen vormen geen uitzondering op de groeiende eisen van cyberbeveiliging. Lees voor meer informatie onze 5 best practices voor het beveiligen van mobiele toepassingen.
Hebt u een applicatieproject en wilt u ervoor zorgen dat het veilig en efficiënt verloopt? Vraag onze cyberbeveiligingsspecialisten om advies!
