Erstellen Sie kugelsichere mobile Apps mit OWASP MAS

Von Brian Reed, Chief Mobility Officer bei NowSecure 

Mobile Apps fahren vorbei 70% des Internetverkehrs und verbrauchen 88 % der gesamten mobilen ZeitDamit sind sie unverzichtbar für Unternehmen, die ihren Umsatz steigern, mit Kunden in Kontakt treten und Erkenntnisse gewinnen möchten, um Produkte und Dienstleistungen zu verbessern. Gleichzeitig erhöht der Anstieg des mobilen App-Verkehrs das Risiko für Unternehmen, die der Sicherheit keine Priorität einräumen. Dies setzt die Entwickler mobiler Apps unter Druck, schnell qualitativ hochwertige, sichere mobile Apps zu entwickeln und bereitzustellen, die Innovationen vorantreiben und die Anforderungen des Unternehmens erfüllen.

Um die Risiken der mobilen Bedrohungslandschaft zu bewältigen, muss die Öffnen Sie das Web Application Security Projekt (OWASP) entwickelte die Mobil Application Security (MAS) Vorzeigeprojekt zur Schaffung einer gemeinsamen Grundlage für Sicherheitsanforderungen für mobile Apps. Neben der Bereitstellung von Industriestandards schult OWASP MAS Entwickler, Architekten, Sicherheitsanalysten und Sicherheitsingenieure mobiler Apps über die notwendigen Tools, Techniken und Methoden, die erforderlich sind, um die Sicherheit mobiler Apps über den gesamten Entwicklungslebenszyklus und den Produktionsbetrieb hinweg zu gewährleisten.

Entwickler mobiler Apps sollten die Hauptprinzipien des OWASP MAS-Projekts und die gängigsten Sicherheit für mobile Apps Probleme, damit sie mobile Apps konsequent unter Berücksichtigung der Sicherheit entwerfen, erstellen, entwickeln und testen können. Entwickler, die die OWASP MAS-Standards verwenden, berichten häufig von höherer Leistung, Effizienz und release Vorhersehbarkeit bei gleichzeitiger Risikoreduzierung.

Die Kernkomponenten von OWASP MAS

Entwickler mobiler Apps, die ihre mobilen Apps sichern möchten, sollten die drei Hauptkomponenten des OWASP MAS-Projekts anwenden:

• Mobil Application Security Verifizierungsstandard (MASVS): OWASP hat das MASVS erstellt, um eine umfassende Liste von Anforderungen bereitzustellen, die Entwickler mobiler Apps verwenden können, um sicherzustellen, dass mobile Android- und iOS-Apps ein angemessenes Sicherheitsniveau beibehalten. Die Anforderungen erfüllen drei Hauptziele:
  • Verwendung als Leitfaden – Bereitstellung von Sicherheitshinweisen in allen Phasen der Entwicklung und Prüfung mobiler Apps;
  • Verwendung als Messgröße – Bereitstellung eines Sicherheitsstandards, anhand dessen mobile Apps von Entwicklern und Anwendungseigentümern verglichen werden können;
  • Verwendung während der Beschaffung – Bereitstellung einer Grundlage für die Sicherheitsüberprüfung mobiler Apps.
• Mobil Application Security Testleitfaden (MASTG): Dieses Handbuch bietet Entwicklern mobiler Apps die wesentlichen Informationen, die sie zum sicheren Erstellen benötigen, und bietet technische Ratschläge zu sicheren Codierungspraktiken, Bedrohungsmodellierung, Schwachstellenbewertung usw. und Risikomanagement. Entwickler können sich auch über geeignete Testtechniken informieren, darunter Bedrohungsmodellierung, Pen-Tests und Risikobewertung.
• Mobil Application Security (MAS) Checkliste: Entwickler mobiler Apps können auf die MAS-Checkliste zugreifen, um sicherzustellen, dass ihre mobilen Apps in allen von MASVS angegebenen Kategorien getestet werden. Zu diesen Kategorien gehören Architektur, Design und Bedrohungsmodellierung, Datenspeicherung und Datenschutz, Kryptografie, Authentifizierung und Sitzungsverwaltung, Netzwerkkommunikation, Plattforminteraktion, Codequalität sowie Build-Einstellungen und Ausfallsicherheit.

Zu wissende Probleme mit der mobilen AppSec

Um die effektivste standardbasierte mobile AppSec-Strategie zu entwickeln, sollten sich Entwickler mit den häufigsten Problemen vertraut machen, die bei unsicheren mobilen Apps auftreten.

• Unsachgemäße Datenspeicherung: Untersuchungen von NowSecure haben ergeben, dass 50 % der mit MASVS getesteten mobilen Apps personenbezogene Daten (PII) falsch speichern. Dieses Problem hat schwerwiegende Auswirkungen auf mobile Apps, die für stark regulierte Branchen wie das Finanz- und Gesundheitswesen entwickelt werden, wo Sicherheitsverletzungen schwerwiegende Folgen haben können. Entwickler sollten Passwörter, kryptografische Schlüssel und andere Anmeldeinformationen mithilfe der MASVS-Datenspeichertechniken überprüfen. Darüber hinaus sollten vertrauliche Dateneingaben niemals zwischengespeichert oder in Anwendungsprotokollen angezeigt werden, und Entwickler sollten native Betriebssystemkonfigurationen für die Speicherung verwenden.
• Schwache Kryptographie: Entwickler protokollieren häufig große Mengen sensibler Daten zu Debugging-Zwecken in verschiedenen Phasen der Pipeline. Aber Bedrohungsakteure können auf erweiterte Tools zugreifen, um reverse engineer schwache Algorithmen, die Möglichkeiten schaffen, PII mit Leichtigkeit zu stehlen. Entwickler sollten schwache oder veraltete Kryptoalgorithmen von Erst- und Drittanbietern vermeiden, um sich vor Reverse-Engineering-Tools zu schützen. deploy Pseudozufallszahlengeneratoren und deren Verwendung White-Box-Kryptographie für maximalen schutz.
• Schwache Authentifizierung und Sitzungsverwaltung: Inaktivität oder ungültige Sitzungen können es Angreifern leicht machen, in mobile Apps einzudringen. Entwickler sollten verhindern, dass inaktive Sitzungen zu lange laufen, und sicherstellen, dass Daten verborgen bleiben, wenn Benutzer mobile Apps in den Hintergrund schieben. Sie sollten auch Berechtigungen und Authentifizierung auf der Clientseite vermeiden, da Bedrohungsakteure möglicherweise die Mechanismen für die Sitzungsverwaltung aufdecken und ihre Anmeldeinformationen generieren.
• Unsichere Netzwerkkommunikation: Unsichere Netzwerkaktivitäten ermöglichen es Bedrohungsakteuren, personenbezogene Daten abzufangen, wenn die Kommunikation zwischen der mobilen App und Remote-Service-Endpunkten nicht verschlüsselt ist. Ähnlich wie die Probleme mit unsachgemäßer Datenspeicherung können unsichere Netzwerkverbindungen mobiler Apps besonders für mobile Apps in stark regulierten Branchen ein Problem darstellen. Durch das Anheften von Zertifikaten können Entwickler sicherstellen, dass die Kommunikation mit dem vorgesehenen Server verbunden bleibt, sodass sensible Daten nicht in die falschen Hände geraten. Entwickler sollten für zusätzlichen Schutz auch Android- und iOS-spezifische Sicherheits-APIs und White-Box-Kryptografie verwenden.
• Schlechte Codequalität und Build-Einstellungen: NowSecure-Benchmark-Tests haben ergeben, dass 47 % der mobilen Apps Probleme mit der Codequalität aufweisen, die zu schwerwiegenden Sicherheitsverletzungen führen können, wenn sie nicht überprüft werden. Diese Probleme reichen von im Code verbleibenden Debug-Symbolen bis hin zu Fehlern, die in nicht überprüften Bibliotheken von Drittanbietern gefunden werden. Entwickler sollten sichere Codierungstechniken erlernen, um Fehler in ihrem eigenen Code zu vermeiden und Bibliotheken von Drittanbietern regelmäßig überprüfen und aktualisieren.
• Mangelnde Widerstandsfähigkeit gegen Reverse Engineering: Gesundheits-Apps, Finanzdienstleistungs-Apps und Gaming-Apps sind Gegenstand umfangreicher Reverse-Engineering-Versuche einiger der weltweit erfahrensten und hartnäckigsten Bedrohungsakteure. App-Eigentümer und Build-Engineering sollten verschleiern Code entweder durch Open-Source-Techniken oder Tools von Drittanbietern. Darüber hinaus müssen App-Besitzer und Build-Ingenieure vor Manipulationen schützen, indem sie die Möglichkeit hinzufügen, Apps überwachen Das hat released in die Wildnis. Schließlich müssen App-Besitzer die Möglichkeit hinzufügen, kompromittierte Apps in freier Wildbahn herunterzufahren oder zumindest deren Funktionalität zu verwerfen.

Organisationen können eine Vielzahl von Tools und Techniken verwenden, um dies zu bestätigen Implementieren Sie die MASVS-Prinzipien in der gesamten Pipeline ordnungsgemäß. Integrierte automatisierte Testtools Mit integrierten Fehlerbehebungstipps können Entwickler Sicherheitslücken schnell und effizient beheben. Geführte Tests kombiniert die Vorteile manueller und automatisierter Sicherheitstests, indem automatisierte Tests kontinuierlich im Hintergrund ausgeführt werden können, während ein menschlicher Sicherheitsanalyst regelmäßig eingreift, um komplexe Sicherheitsfunktionen zu testen, die eine menschliche Berührung erfordern. Zusätzlich hinzufügen Manipulationsschutz Maßnahmen vor deployment bietet eine zusätzliche Schutzebene, indem es Reverse Engineering und Überwachung für un verhindertsafe Umgebungen wie gejailbreakte/gerootete Geräte oder Emulatoren. Ein automatisierte Richtlinien-Engine stellt sicher, dass Entwickler von der Vorproduktion bis zur sicheren Entwicklung auf der Grundlage von MASVS einhalten deployment.

Durch die Befolgung der Kernkomponenten des OWASP MAS-Projekts, Nutzung automatisierter Testtools, Sicheres Codieren lernen Praktiken, Verständnis der Die häufigsten Sicherheitslücken innerhalb mobiler Apps und Erhöhung der Widerstandsfähigkeit, Entwickler verfügen über die Tools und Fähigkeiten, die zum Erstellen kugelsicherer mobiler Apps erforderlich sind. Entwickler können mehr darüber erfahren, wie sie die Sicherheit mobiler Apps mit OWASP MAS verbessern können, indem sie sich die NowSecure/ ansehen.Digital.ai Webinar MASVS-Team: kugelsichere mobile Sicherheit vom Entwickler bis zum Produkt und Digital.ai's kurzes Informationsvideo Erstellen Sie sichere Software.

Über den Autor: Als Chief Mobility Officer von NowSecure bringt Brian Reed jahrzehntelange Erfahrung in den Bereichen Mobile, Apps, Sicherheit, Entwicklung und Betriebsmanagement mit, darunter NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus und INTERSOLV in der Zusammenarbeit mit globalen Fortune-2000-Kunden , mobile Vorreiter und Behörden. Bei NowSecure leitet Brian die allgemeine Markteinführungsstrategie, das Lösungsportfolio, die Marketingprogramme und das Branchenökosystem. Mit mehr als 25 Jahren Erfahrung in der Entwicklung innovativer Produkte und der Transformation von Unternehmen verfügt Brian über eine nachgewiesene Erfolgsbilanz in frühen und mittleren Unternehmen in verschiedenen Technologiemärkten und Regionen. Als bekannter Redner und Vordenker ist Brian ein dynamischer Redner und überzeugender Geschichtenerzähler, der einzigartige Einblicke und globale Erfahrungen mitbringt. Brian ist Absolvent der Duke University.