Уеб приложенията все повече се превръщат в стандартен тип приложен софтуер
Те са изградени върху общ набор от концепции и технологии: браузър – приложение клиент с комуникационен протокол HTTP към уеб сървър, приложен сървър за изпълнение на код и база данни с наложена (Relational DBMS) или по-нова технология за представяне на данните, да речем NoSQL, XML, JSON или друга.
Този клас трислойни приложения имат интегрирана платформа, което води до общи съображения за сигурност.
Проблемите със сигурността на този вид платформи се изследват и са позната от близо вече тридесет години. Най-често срещаните проблеми със сигурността на уеб приложенията са предмет на проекта OWASP. Всеки може да открие портала, който съдържа документация и инструментариум за конструиране и проверка на сигурността на този вид приложения. Ежегодно на страниците на портала се публикуват Десетте най-критични слабости за сигурността на уеб приложенията.
Нарушенията с лични данни при експлоатацията на уеб приложения са тема, която е известна отдавна. Поради архитектурата на този вид приложения тези нарушения се експонират пред целия и контролът върху тях от страна на институциите и крайните потребители е различен от този върху мобилните приложения.
Съдържанието на портала на OWASP включва
Десетте критични слабости в мобилните приложения.
Разработчиците на мобилни приложения са последната вълна от агресивни играчи, които безогледно събират лични данни след като неподозиращия потребител инсталира техните продукти в мобилния си телефон или друго устройство, например таблет, телевизор, подсистемата за развлечения на автомобилното табло …
Има върху какво да се замисли човек когато разрешавае достъп на приложенията, което ще рече на производителите на тези приложения, до адресната листа в мобилния телефон. Последната съдържа списък с контакти, имена, адреси, месторабота. Същото се отнася и до останалите данни в мобилното устройство. Приложенията обикновено искат достъп до файловата система, където са записите от камерата, фонограми, търсенията в интернет, записи на местоположението на различни обекти, посещавани от потребителя, регистрираните обаждания с различни телефонни номера. Може би за някои потребители въпросът за сигурността и поверителността вече няма значение, особено във виртуалния свят.
Законодателството по темата определя ясно отношението към личните данни
Приложенията в областта на здравето и фитнеса, управлението на комуникациите и повишаването на производителността на потребителите изискват средно най-голям брой опасни разрешения за достъп до данните в мобилните устройства.
Най-популярното изискване на 99% от най-добрите приложения за Android е да получат пълен мрежов достъп и да преглеждат мрежовите връзки. Това позволява на приложението да се свързва с интернет. Още 72% от приложенията работят след кото получат разрешение за ползване на ентерфейса по протокола WI-FI.
Почти 75% от приложенията искат да имат права за четене върху външното хранилище (файловата система на мобилното устройство) и да променят или изтриват файлове от същото външно хранилище. От друга страна, 36% от приложенията искат разрешение да използват камерата, запазените фотографии, данните, които указват родствени връзки (родителство и др), запознанства и др. Изненадващо, приложенията в категориите игри, астрология и персонализация също искат разрешения за достъп до камерата.
Какъв е делът на приложенията, които записват разговорите на потребителите? Отговорът е 21%.
От топ 1020 приложения за Android почти 215 искат достъп до микрофона, особено приложенията в категориите финанси, начин на живот и обкръжение.
Що се отнася до обаждането, близо 80 приложения от 1020 приложения за Android искат разрешение за директни обаждания. За щастие повечето от тези приложения са от категории комуникация, бизнес и социални медии. Интересното е, че дори приложения от категориите игри, фотография и обкръжение изискват достъп до списъка с контакти. Всеки потребител трябва помислите два пъти преди да предостави на дадено приложение достъп да листата с контактите в устройството си. , в случай, че очевидно то не се нуждае от тази информация за да работи.
От само себе си се разбира, че приложенията от която и да е категория може да поискат опасни подходящи разрешения. Същите разрешени права може да бъдат и опасни, ако авторите на приложението са реализирали преднамерено неприемливи функции в него. Все пак нормално е да се очаква, че приложението за комуникация ще поиска достъп до телефонен указател и акаунти в Android, а приложението за навигация ще поиска да проследи местоположението на потребителя.
Основни стъпки за минимизиране на риска
• Разрешават се само онези функции, за рисковете от които потребителят е наясно. Например, ако приложение има достъп до микрофона, тогава е възможно то да се използва за прослушване на разговорите около телефона, при това без собственика му да подозира, да се записват и изпращат разговори на трети страни, да се записват само разговори с определени кореспонденти от списък с телефонни номера и много други хитрости.
• Инсталират се приложениея, които използват минимален брой и то само необходими права върху ресурсите на мобилното устройство. Така потребителят може да включите тези настройк, които смята, че ще бъдат безопосни за конфиденциалността му.
• Приемливо безопасни са приложенията от Google play store, защото там се прилага механизъм за саниране и се идентифицират приложенията, които са потенциално опасни.
• Изключват се настройките за местоположение, защото функциите за проследяване събират данни когато тези настроки са активирани.