Lời mở đầu cho thiết bị bảo mật điện thoại

211
Ngành công nghiệp điện thoại đang bùng nổ hơn bao giờ hết. Điều này đã tạo ra vô số các dòng điện thoại, thiết bị OS và các ứng dụng. Các nhà phát triển ứng dụng cũng như các công ty thì khẩn trưởng phát triển các ứng dụng cho vô số các thiết bị khác nhau, từ iPhone cho tới iPad, Android và BlackBerry.
Ngành công nghiệp điện thoại đang bùng nổ hơn bao giờ hết. Điều này đã tạo ra vô số các dòng điện thoại, thiết bị OS và các ứng dụng. Các nhà phát triển ứng dụng cũng như các công ty thì khẩn trưởng phát triển các ứng dụng cho vô số các thiết bị khác nhau, từ iPhone cho tới iPad, Android và BlackBerry. Đây có thể là một tin tốt đối với các nhà phát triển, nhà sản xuất cũng như là người tiêu dùng. Tuy nhiên, sự bùng nổ này vẫn đi kèm với nhiều rủi ro. Các nhà phát triển thường tạo ra các ứng dụng dựa trên tiêu chí phục vụ chức năng là đầu tiên, nhưng yếu tố bảo mật vẫn chưa được coi trọng. Điều này là một thực trạng đáng buồn. Thực tế là  việc sử dụng điện thoại ngày càng trở nên lắt léo hơn khi vấn đề bảo mật ngày càng được quan tâm nhiều hơn.
Vậy thì phải làm thế nào để các nhà phát triển ứng dụng có thể đảm bảo tối đa tính bảo mật cho khách hàng của mình ? Yếu tố nào họ cần phải biết để thiết kế được một ứng dụng trên điện thoại giúp người dùng có nhiều sự an toàn nhất khi sử dụng Internet. Việc thiết kế một ứng dụng như vậy (cho các thiết bị điện thoại) thì đòi hỏi nhiều hơn so với việc phát triển một phần mềm cho doanh nghiệp.
Mối nguy hiểm lớn nhất đối với các ứng dụng cho điện thoại đó là chúng quá nhạy cảm với các tấn công từ bên ngoài và có thể bị bẻ khoá bất cứ lúc nào. Điều này đặc biệt không còn quá xa lạ với các thiết bị như Android và iPhone. Một công cụ đã bị bẻ khoá sẽ tạo điều hiện cho những hackers tiếp cận với mã nguồn, từ đó có thể thay đổi và phát triển lại toàn bộ ứng dụng điện thoại cũng như là phân tích những lỗ hổng.
Những lỗ hổng, bao gồm
  • Các chức năng liên quan tới vấn đề an ninh
  • Xác nhận đầu vào/đầu ra (I/O) và mã hoá lỗi
  • Xử lí lỗi và sao chép những lỗ hỗng
  • Các thành phần không an toàn
  • Giải mã lỗi
  • Lưu trữ dữ liệu địa phương trên các thiết bị điện thoại
Một trong những bài toán khó là nhằm đảm bảo sự bảo mật trên điện thoại cho các khách hàng sau những phiên hết hạn (session expiry). Cách duy nhất để làm điều này đó là phát triển một mật mã đặc biệt nhằm xoá đi các dữ liệu riêng tư ngay khi người dùng gặp phải những phiên hết hạn. Nếu không, những thông tin quan trọng vẫn còn năm trong máy và có khả năng tạo ra rắc rối mang tính bảo mật. Một khi công nghệ di động và bảo mật điện thoại ngày càng được phát triển thì những tay hackers cũng không ngừng sáng tạo các thủ thuật ngày càng tân tiến nhằm tiếp cận hệ thống điện thoại. Do vậy, các nhà sản xuất cùng những nhà phát triển cần phải luôn đề phòng và thường xuyên kiểm tra lỗi ở hệ thống, để giảm thiểu bất cứ khả năng nào ảnh hưởng tới tính bảo mật.
Trong trường hợp dữ liệu cần phải được lưu trữ trong thiết bị sau phiên hết hạn thì nhà phát triển cần áp dụng sự mã hoá đặc biệt nhằm bảo vệ những thông tin quan trọng này cho khách hàng. Một ví dụ có thể kể đến như ứng dụng iOS đã nỗ lực bảo vệ dữ liệu bằng The Data Protection API, Keychain và Cryptography. Ngoài ra, thiết bị quản lí điện thoại (MDM) với tính năng cất giữ và lấy dữ liệu từ xa cũng có thể được sử dụng để ngăn chặn những tiếp cận tới các dữ liệu nhạy cảm trong trường hợp thiết bị bị đánh cắp.
Ngoài ra, các ứng dụng điện thoại thường được kết nối với các máy chủ. Điều này cho phép người dùng được trải nghiệm sự thoải mái và tiện tích, tuy nhiên, các hackers lành nghề hoàn toàn có thể dễ dàng tiếp cận với máy chủ này, một khi họ đã mở khoá thành công thiết bị của bạn. Do đó, trong khi các nhà sản xuất cần phải nhìn vào phần cứng của bảo mật di động, có nghĩa là, các tính năng bảo mật được cung cấp trong điện thoại chính nó; thì các nhà phát triển cần phải chỉ ra được làm cách nào và ở mức độ nào họ muốn thiết bị điện thoại của mình kết nối với máy chủ. Giải pháp chung để bảo đảm thông tin liên lạc từ các ứng dụng điện thoại di động đến máy chủ nội bộ là thông qua SSL và VPN. Và API Gateway có thể được sử dụng để tăng cường an ninh và tuân thủ các quy định thông qua khả năng xác thực, uỷ quyền và kiểm toán.
Một trong những khó khăn lớn nhất đó là bạn không thể tìm ra quá nhiều nhà phát triển ứng dụng, những người có chuyên môn sâu vào việc bảo mật điện thoại và chống virus cho điện thoại. Tuy nhiên, có một số chuyên gia trong lĩnh vực này có thể cho bạn lời khuyên về vấn đề bảo mật của điện thoại. Những nhân tố này có thể giúp bạn phát hiện ra những lỗ hổng trong các ứng dụng của bạn, viết lại chương trình cho ứng dụng cũng như cho bạn những lời khuyên để tránh xa các thất bại sau này. Do đó, rất nhiều công ty được khuyến khích để duy trì lực lượng, đội ngũ như thế này để kịp thời ứng phó trong bất cứ hoàn cảnh và thời gian nào.
– TuanNV – 
Tin liên quan: