Bảo vệ ứng dụng mobile là một công việc không hề dễ, một ứng dụng mobile hiện đại (đặc biệt là tài chính, ngân hàng) sẽ phải đối mặt và gặp nhiều thách thức bởi sự tấn công của các tin tặc. nhattruong.blog xin đưa ra một số tiêu chí để bảo vệ cho ứng dụng di động như sau:
- SSL Pinning (khóa phải được bảo vệ bởi Obfucation).
- Obfucation.
- Ký giao dịch DOTP.
- Chống root/jailbreak
- Chống cài trên ảo hóa.
- Mã hóa gói tin API, hai đầu client & server.
- Lưu trữ an toàn các file nhạy cảm, Chống đọc file/sửa file một số file nhạy cảm của ứng dụng sinh ra. trên thiết bị (obfucation).
- Chống repackage/kiểm tra tính toàn vẹn của ứng dụng.
- Chống chụp màn hình.
- Chống chèn màn hình giả mạo, keyboard giả mạo trên ứng dụng.
- Chống hook frida/ hoặc bằng các chương trình khác.
- Chống bật chế độ debugger.
- Kiểm tra các tiến trình độc hại chạy song song với ứng dụng có trên bộ nhớ RAM.
- Kiểm tra nguồn cài đặt chương trình.
- Định danh thiết bị.
- Cảnh báo, đo lường rủi ro.
nhattruong.blog sẽ update các tiêu chí phù hợp để bạn đọc có cái nhìn toàn diện về khía cạnh này. Một số tiêu chí có thể khá khó hiểu, bạn đọc có thể email cho tôi là me@nhattruong.blog để trao đổi hoặc bổ sung thêm các tiêu chí khác trong tương lại. Thanks all!
Nhat Truong Blog 