Créez des applications mobiles à toute épreuve avec OWASP MAS

Par Brian Reed, directeur de la mobilité chez NowSecure 

 

Les applications mobiles prennent le contrôle 70% du trafic Internet et consommer 88 % du temps passé sur mobileLes applications mobiles sont donc essentielles pour les organisations qui cherchent à augmenter leur chiffre d'affaires, à interagir avec leurs clients et à obtenir des informations précieuses pour améliorer leurs produits et services. Parallèlement, la hausse du trafic sur les applications mobiles accroît les risques pour les organisations qui négligent la sécurité. Cela met les développeurs d'applications mobiles sous pression pour concevoir et déployer rapidement des applications sécurisées et de haute qualité, favorisant l'innovation et répondant aux besoins de l'entreprise.

Pour gérer les risques liés aux menaces mobiles, Ouvrez le Web Application Security Projet (OWASP) développé le Mobile Application Security (MAS) Projet phare visant à établir un cadre commun pour les exigences de sécurité des applications mobiles. Outre la définition de normes sectorielles, OWASP MAS forme les développeurs, architectes, analystes et ingénieurs en sécurité d'applications mobiles aux outils, techniques et méthodologies nécessaires pour garantir la sécurité des applications mobiles tout au long de leur cycle de développement et lors de leur mise en production.

Les développeurs d'applications mobiles doivent comprendre les principes fondamentaux du projet OWASP MAS et les plus courants sécurité de l'application mobile Les développeurs qui utilisent les normes OWASP MAS constatent fréquemment une amélioration des performances, de l'efficacité et de la prévisibilité des mises en production, tout en réduisant les risques.

Les composantes essentielles d'OWASP MAS

Les développeurs d'applications mobiles qui souhaitent sécuriser leurs applications mobiles doivent appliquer les trois principaux composants du projet OWASP MAS :

  • Mobile Application Security Norme de vérification (MASVS)L’OWASP a créé les MASVS afin de fournir une liste exhaustive d’exigences permettant aux développeurs d’applications mobiles de garantir un niveau de sécurité adéquat pour les applications Android et iOS. Ces exigences répondent à trois objectifs clés :
    • À utiliser comme guide – Fournir des conseils de sécurité pendant toutes les phases de développement et de test d'applications mobiles ;
    • Utiliser comme indicateur – Fournir une norme de sécurité permettant aux développeurs et aux propriétaires d'applications mobiles de comparer leurs performances ;
    • À utiliser lors de l'approvisionnement – ​​Fournir une base de référence pour la vérification de la sécurité des applications mobiles.
  • Mobile Application Security Guide de test (MASTG)Ce manuel fournit aux développeurs d'applications mobiles les informations essentielles dont ils ont besoin pour créer des applications sécurisées, en offrant des conseils techniques sur les pratiques de codage sécurisé, la modélisation des menaces et l'évaluation des vulnérabilités. tests de pénétrationet la gestion des risques. Les développeurs peuvent également se familiariser avec les techniques de test appropriées, notamment la modélisation des menaces, les tests d'intrusion et l'évaluation des risques.
  • Mobile Application Security Liste de contrôle (MAS)Les développeurs d'applications mobiles peuvent consulter la checklist MAS pour s'assurer que leurs applications sont testées dans toutes les catégories spécifiées par MASVS. Ces catégories incluent l'architecture, la conception et la modélisation des menaces, le stockage et la confidentialité des données, la cryptographie, l'authentification et la gestion des sessions, la communication réseau, l'interaction avec la plateforme, la qualité du code, ainsi que les paramètres de compilation et la résilience.

Problèmes de sécurité des applications mobiles à connaître

Pour créer la stratégie de sécurité des applications mobiles la plus efficace et conforme aux normes, les développeurs doivent se familiariser avec les problèmes les plus courants rencontrés dans les applications mobiles non sécurisées.

  • Stockage de données inadéquat : Une étude de NowSecure révèle que 50 % des applications mobiles testées selon la norme MASVS stockent incorrectement les informations personnelles identifiables (IPI). Ce problème a de graves conséquences pour les applications mobiles développées pour des secteurs hautement réglementés, tels que la finance et la santé, où les failles de sécurité peuvent avoir des répercussions importantes. Les développeurs doivent vérifier les mots de passe, les clés cryptographiques et autres identifiants conformément aux techniques de stockage de données de MASVS. De plus, les données sensibles ne doivent jamais être mises en cache ni figurer dans les journaux d'application, et les développeurs doivent utiliser les configurations natives du système d'exploitation pour le stockage.
  • Cryptographie faible : Les développeurs enregistrent souvent de grandes quantités de données sensibles à des fins de débogage à différentes étapes du processus. acteurs de la menace peut accéder à des outils avancés pour ingénierie inverse Des algorithmes faibles offrent la possibilité de voler facilement des informations personnelles. Les développeurs doivent éviter les algorithmes de chiffrement, qu'ils soient internes ou tiers, faibles ou obsolètes afin de se protéger contre les outils de rétro-ingénierie, déployer des générateurs de nombres pseudo-aléatoires et utiliser cryptographie en boîte blanche pour une protection maximale.
  • Authentification et gestion de session faibles : L'inactivité ou l'invalidation des sessions peuvent faciliter l'intrusion dans les applications mobiles. Les développeurs doivent éviter que les sessions inactives ne se prolongent et s'assurer que les données restent masquées lorsque les utilisateurs mettent les applications en arrière-plan. Ils doivent également éviter de gérer les autorisations et l'authentification côté client, car les acteurs malveillants pourraient découvrir les mécanismes de gestion des sessions et générer leurs identifiants.
  • Communications réseau non sécurisées : Une activité réseau non sécurisée permet aux acteurs malveillants d'intercepter des informations personnelles identifiables (IPI) lorsque la communication entre l'application mobile et les points de terminaison du service distant n'est pas chiffrée. À l'instar des problèmes liés à un stockage de données inadéquat, les connexions réseau non sécurisées des applications mobiles peuvent s'avérer particulièrement préoccupantes pour les applications mobiles destinées aux secteurs fortement réglementés. Épinglage de certificat Cela permet aux développeurs de garantir que les communications restent connectées au serveur prévu, évitant ainsi que des données sensibles ne tombent entre de mauvaises mains. Ils devraient également utiliser les API de sécurité spécifiques à Android et iOS, ainsi que le chiffrement en boîte blanche, pour une protection renforcée.
  • Mauvaise qualité du code et paramètres de compilation : Les tests de performance de NowSecure révèlent que 47 % des applications mobiles présentent des problèmes de qualité du code, susceptibles d'entraîner des failles de sécurité majeures si rien n'est fait. Ces problèmes vont de la présence de symboles de débogage résiduels dans le code à des bogues découverts dans des bibliothèques tierces non vérifiées. Les développeurs doivent se familiariser avec les techniques de programmation sécurisée afin d'éviter les erreurs dans leur propre code et veiller à examiner et mettre à jour régulièrement les bibliothèques tierces.
  • Manque de résilience face à la rétro-ingénierie : Les applications de santé, de services financiers et de jeux font l'objet de nombreuses tentatives de rétro-ingénierie menées par certains des acteurs malveillants les plus compétents et les plus persistants au monde. Les propriétaires d'applications et les équipes de développement doivent prendre des mesures. obscurcir le code, soit par le biais de techniques open source, soit par des outils tiers. De plus, les propriétaires d'applications et les ingénieurs de compilation doivent se prémunir contre toute falsification en ajoutant la possibilité de surveiller les applications qui sont diffusées publiquement. Enfin, les propriétaires d'applications doivent ajouter la possibilité de désactiver, ou au moins de limiter les fonctionnalités, des applications compromises diffusées publiquement.

Les organisations peuvent utiliser divers outils et techniques pour confirmer que les développeurs Mettre en œuvre correctement les principes MASVS tout au long du pipeline. Outils de test automatisés intégrés des conseils de correction intégrés aident les développeurs à résoudre les failles de sécurité rapidement et efficacement. Tests guidés Il combine les avantages des tests de sécurité manuels et automatisés en permettant aux tests automatisés de s'exécuter en continu en arrière-plan, tandis qu'un analyste de sécurité humain intervient périodiquement pour tester les fonctionnalités de sécurité complexes qui nécessitent une intervention humaine. De plus, l'ajout anti-falsification Les mesures prises avant le déploiement offrent une protection supplémentaire en empêchant la rétro-ingénierie et en surveillant les anomalies.safe des environnements tels que les appareils jailbreakés/rootés ou les émulateurs. moteur de politique automatisé garantit que les développeurs respectent les principes de développement sécurisé basés sur MASVS, de la préproduction au déploiement.

En suivant les composantes essentielles du projet OWASP MAS, tirer parti des outils de test automatisés, Apprendre la programmation sécurisée pratiques, compréhension des failles de sécurité les plus courantes au sein des applications mobiles, et renforcer la résilienceLes développeurs disposeront des outils et des compétences nécessaires pour créer des applications mobiles à toute épreuve. Ils peuvent en apprendre davantage sur l'amélioration de la sécurité des applications mobiles avec OWASP MAS en visionnant la vidéo NowSecure/Digital.ai en direct MASVS s'associe : Sécurité mobile à toute épreuve, du développement à la production et Digital.aicourte vidéo informative Concevoir des logiciels sécurisés.

À propos de l'auteur : Brian Reed, directeur de la mobilité chez NowSecure, cumule des décennies d'expérience dans les domaines du mobile, des applications, de la sécurité, du développement et de la gestion des opérations. Il a notamment travaillé chez NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus et INTERSOLV, auprès de clients internationaux figurant au classement Fortune 2000, de pionniers du mobile et d'agences gouvernementales. Chez NowSecure, Brian pilote la stratégie de commercialisation, le portefeuille de solutions, les programmes marketing et l'écosystème sectoriel. Fort de plus de 25 ans d'expérience dans la création de produits innovants et la transformation d'entreprises, il a fait ses preuves auprès de jeunes pousses et d'entreprises en phase de croissance, sur de nombreux marchés technologiques et dans différentes régions du monde. Conférencier reconnu et expert dans son domaine, Brian est un orateur dynamique et un conteur captivant qui apporte une vision unique et une expérience internationale. Brian est diplômé de l'Université Duke.

 

Vous aimerez aussi