Créez des applications mobiles à l'épreuve des balles avec OWASP MAS

Par Brian Reed, directeur de la mobilité chez NowSecure 

Les applications mobiles passent 70% du trafic Internet et consommer 88 % de tout le temps passé sur mobile, ce qui les rend essentiels pour les organisations qui cherchent à augmenter leurs revenus, à entrer en contact avec leurs clients et à obtenir des informations pour améliorer leurs produits et services. Dans le même temps, l'augmentation du trafic des applications mobiles augmente les risques pour les organisations qui ne donnent pas la priorité à la sécurité. Cela met la pression sur les développeurs d'applications mobiles pour qu'ils développent et fournissent rapidement des applications mobiles sécurisées de haute qualité qui stimulent l'innovation et répondent aux besoins de l'entreprise.

Pour gérer les risques du paysage des menaces mobiles, le Ouvrez le Web Application Security Projet (OWASP) développé le Mobile Application Security (MAS) projet phare visant à établir une base commune pour les exigences de sécurité des applications mobiles. En plus de fournir les normes de l'industrie, OWASP MAS éduque les développeurs d'applications mobiles, les architectes, les analystes de sécurité et les ingénieurs de sécurité sur les outils, techniques et méthodologies nécessaires pour assurer la sécurité des applications mobiles tout au long du cycle de développement et des opérations de production.

Les développeurs d'applications mobiles doivent comprendre les grands principes du projet OWASP MAS et les principes les plus courants. sécurité de l'application mobile problèmes afin qu'ils puissent systématiquement concevoir, créer, développer et tester des applications mobiles en gardant la sécurité à l'esprit. Les développeurs qui utilisent les normes OWASP MAS signalent fréquemment des performances, une efficacité et une efficacité supérieures. release prévisibilité tout en réduisant les risques.

Les composants de base de l'OWASP MAS

Les développeurs d'applications mobiles qui souhaitent sécuriser leurs applications mobiles doivent appliquer les trois principaux composants du projet OWASP MAS :

• Mobile Application Security Norme de vérification (MASVS): L'OWASP a créé le MASVS pour fournir une liste complète des exigences que les développeurs d'applications mobiles peuvent utiliser pour garantir que les applications mobiles Android et iOS maintiennent un niveau de sécurité adéquat. Les exigences répondent à trois objectifs clés :
  • Utiliser comme guide - Fournir des conseils de sécurité pendant toutes les phases de développement et de test d'applications mobiles ;
  • Utiliser comme métrique - Fournir une norme de sécurité à laquelle les applications mobiles peuvent être comparées par les développeurs et les propriétaires d'applications ;
  • Utilisation lors de l'approvisionnement - Fournit une base de référence pour la vérification de la sécurité des applications mobiles.
• Mobile Application Security Guide de test (MASTG): Ce manuel fournit aux développeurs d'applications mobiles les informations essentielles dont ils ont besoin pour créer en toute sécurité, offrant des conseils techniques sur les pratiques de codage sécurisé, la modélisation des menaces, l'évaluation des vulnérabilités, tests de pénétration, et la gestion des risques. Les développeurs peuvent également en apprendre davantage sur les techniques de test appropriées, y compris la modélisation des menaces, les tests d'intrusion et l'évaluation des risques.
• Mobile Application Security (MAS) Liste de contrôle: Les développeurs d'applications mobiles peuvent accéder à la liste de contrôle MAS pour s'assurer que leurs applications mobiles sont testées dans toutes les catégories spécifiées par MASVS. Ces catégories comprennent l'architecture, la conception et la modélisation des menaces, le stockage et la confidentialité des données, la cryptographie, l'authentification et la gestion des sessions, la communication réseau, l'interaction de la plate-forme, la qualité du code, ainsi que les paramètres de construction et la résilience.

Problèmes d'AppSec mobile à connaître

Pour créer la stratégie AppSec mobile basée sur des normes la plus efficace, les développeurs doivent se familiariser avec les problèmes les plus courants rencontrés dans les applications mobiles non sécurisées.

• Stockage de données incorrect : La recherche NowSecure révèle que 50 % des applications mobiles testées par rapport au MASVS stockent de manière inappropriée des informations d'identification personnelle (PII). Ce problème a de graves implications pour les applications mobiles développées pour des secteurs hautement réglementés, tels que la finance et la santé, où les failles de sécurité peuvent entraîner de graves conséquences. Les développeurs doivent vérifier les mots de passe, les clés cryptographiques et autres informations d'identification en suivant les techniques de stockage de données MASVS. De plus, les entrées de données sensibles ne doivent jamais être mises en cache ou apparaître dans les journaux d'application, et les développeurs doivent utiliser les configurations natives du système d'exploitation pour le stockage.
• Cryptographie faible : Les développeurs enregistrent souvent de grandes quantités de données sensibles à des fins de débogage à différentes étapes du pipeline. Mais acteurs de la menace peut accéder à des outils avancés pour ingénierie inverse algorithmes faibles, créant des opportunités de voler facilement des informations personnelles. Les développeurs doivent éviter les algorithmes de chiffrement premiers et tiers faibles ou obsolètes pour se protéger contre les outils d'ingénierie inverse, deploy générateurs de nombres pseudo-aléatoires et utiliser cryptographie en boîte blanche pour une protection maximale.
• Authentification faible et gestion de session : L'inactivité ou les sessions invalidées peuvent permettre aux attaquants de violer facilement les applications mobiles. Les développeurs doivent empêcher les sessions inactives de s'exécuter trop longtemps et s'assurer que les données restent masquées lorsque les utilisateurs poussent les applications mobiles en arrière-plan. Ils doivent également éviter les autorisations et l'authentification côté client, car les pirates peuvent découvrir les mécanismes de gestion des sessions et générer leurs informations d'identification.
• Communications réseau non sécurisées : L'activité réseau non sécurisée permet aux acteurs de la menace d'intercepter les PII lorsque la communication entre l'application mobile et les terminaux de service distants n'est pas chiffrée. Tout comme les problèmes liés au stockage inapproprié des données, les connexions réseau non sécurisées des applications mobiles peuvent être particulièrement préoccupantes pour les applications mobiles destinées aux secteurs hautement réglementés. L'épinglage de certificat peut aider les développeurs à s'assurer que les communications restent connectées au serveur prévu afin que les données sensibles ne tombent pas entre de mauvaises mains. Les développeurs doivent également utiliser des API de sécurité spécifiques à Android et iOS et la cryptographie en boîte blanche pour une protection supplémentaire.
• Mauvaise qualité du code et paramètres de construction : Les tests de référence de NowSecure révèlent que 47 % des applications mobiles présentent des problèmes de qualité de code, ce qui peut entraîner des failles de sécurité majeures si elles ne sont pas contrôlées. Ces problèmes vont des symboles de débogage laissés dans le code aux bogues trouvés dans des bibliothèques tierces non vérifiées. Les développeurs doivent apprendre des techniques de codage sécurisées pour éviter les failles dans leur propre code et réviser et mettre à jour régulièrement les bibliothèques tierces.
• Manque de résilience face à l'ingénierie inverse : Les applications de soins de santé, les applications de services financiers et les applications de jeux font l'objet de nombreuses tentatives de rétro-ingénierie de la part de certains des acteurs de menace les plus compétents et les plus persistants au monde. Les propriétaires d'applications et l'ingénierie de construction devraient obscurcir codez soit via des techniques open source, soit via des outils tiers. De plus, les propriétaires d'applications et les ingénieurs de développement doivent se protéger contre la falsification en ajoutant la possibilité de surveiller les applications Voilà released dans la nature. Enfin, les propriétaires d'applications doivent ajouter la possibilité d'arrêter ou au moins de déprécier la fonctionnalité des applications dans la nature qui ont été compromises.

Les organisations peuvent utiliser une variété d'outils et de techniques pour confirmer que les développeurs mettre en œuvre correctement les principes MASVS tout au long du pipeline. Outils de test automatisés intégrés avec des conseils de remédiation intégrés aident les développeurs à résoudre les bogues de sécurité rapidement et efficacement. Tests guidés combine les avantages des tests de sécurité manuels et automatisés en permettant aux tests automatisés de s'exécuter en continu en arrière-plan, tandis qu'un analyste de la sécurité humaine intervient périodiquement pour tester des fonctionnalités de sécurité complexes qui nécessitent une intervention humaine. De plus, en ajoutant anti-falsification mesures avant deployfournit une couche supplémentaire de protection en empêchant la rétro-ingénierie et en surveillantsafe des environnements tels que des appareils jailbreakés/enracinés ou des émulateurs. Un moteur de politique automatisé veille à ce que les développeurs respectent les principes de développement sécurisés basés sur MASVS de la pré-production à deployment.

En suivant les composants de base du projet OWASP MAS, tirer parti des outils de test automatisés, apprendre le codage sécurisé pratiques, comprendre les failles de sécurité les plus courantes dans les applications mobiles, et ajouter de la résilience, les développeurs disposeront des outils et des compétences nécessaires pour créer des applications mobiles à toute épreuve. Les développeurs peuvent en savoir plus sur la façon d'améliorer la sécurité des applications mobiles avec OWASP MAS en regardant le NowSecure/Digital.ai en direct MASVS Team Up : sécurité mobile à l'épreuve des balles, du développement à la production et Digital.aicourte vidéo d'information Créez un logiciel sécurisé.

À propos de l'auteur : En tant que directeur de la mobilité de NowSecure, Brian Reed apporte des décennies d'expérience dans la gestion des mobiles, des applications, de la sécurité, du développement et des opérations, notamment NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus et INTERSOLV, travaillant avec des clients mondiaux Fortune 2000. , les pionniers du mobile et les agences gouvernementales. Chez NowSecure, Brian dirige la stratégie globale de mise sur le marché, le portefeuille de solutions, les programmes de marketing et l'écosystème de l'industrie. Avec plus de 25 ans d'expérience dans la création de produits innovants et la transformation d'entreprises, Brian a fait ses preuves dans des entreprises en démarrage et à mi-parcours sur plusieurs marchés et régions technologiques. En tant que conférencier renommé et leader d'opinion, Brian est un conférencier dynamique et un conteur convaincant qui apporte des idées uniques et une expérience mondiale. Brian est diplômé de l'Université Duke.