Blog

App security: stilzitten is geen optie

De beveiliging van apps is een hot topic. Niet voor niets, want veel apps komen niet door een standaard veiligheidscheck heen. Ernstig! Maar gelukkig staat databeveiliging bij steeds meer organisaties hoog op de agenda. Ook de Europese Commissie paste recent de richtlijnen van de privacyverordening aan. Zo bestaat vanaf 25 mei 2018 de Wbp niet meer, maar moeten we handelen naar de Algemene Verordening Gegevensbescherming (AVG). Deze veiligheidsmaatregelen voor apps zijn van belang om de gegevens van de gebruikers veilig te stellen en daarmee ook de gebruikers zelf. Des te belangrijker om app security serieus te nemen!

Zonder goede controle, geen veilige app

Veiligheid gaat voorop, dus wees altijd bewust dat kwaadwillenden bij data kunnen komen. En als dat gebeurt, wat kunnen ze daar dan mee? Controle is dus extra belangrijk. Want je wilt niet dat deze gegevens op straat komen te liggen. En als de AVG van kracht is, dan worden dergelijke fouten nog strenger beboet. Een hacker kan bepaalde controles eenvoudig omzeilen om toegang te krijgen tot gevoelige informatie over de onderneming, die opgeslagen zijn in de app. Controles vanaf de serverkant moeten daarom worden toegepast voor app authenticatie. Voor de meeste organisaties is het niet mogelijk intern te laten ontwikkelen en testen, dus wordt dit proces uitbesteed. Hoe dit proces ook verloopt, test een app altijd op veiligheid alvorens het te implementeren. Potentiële lekken worden zo gedetecteerd.

Wanneer het om echt gevoelige informatie gaat is het verstandig om gedrags- en context controles te laten uitvoeren, zoals het achterhalen de geografische locatie vanaf waar de login pogingen worden gedaan. Denk hierbij aan de beveiliging van Google en Apple, die automatisch een mailtje sturen naar de gebruiker op het moment dat er vanaf een andere locatie of ander device is ingelogd op het account. 

Maak het hackers lastig

Reverse-engineering is een veel toegepaste techniek bij hackers. Bij dit ‘omgekeerd programmeren’ wordt softwarecode als het ware van einde naar begin ontleed. Daarbij worden systeemdetails onthuld en vervolgens opnieuw opgebouwd mét schadelijke code als extra ingrediënt. Om dit te voorkomen is het raadzaam de softwarecode te herverpakken met bijvoorbeeld encryptie, waardoor de app voor een eventuele hacker moeilijker te lezen is. Maar vergrendel ook de (automatische) machtigingen in de app. Een gebruiker kan namelijk een machtiging geven om de app te laten communiceren met het device. En zo’n connectie met de camera of microfoon kan handig zijn, maar wees altijd kritisch! Controleer continu op eventuele zwakke plekken en monitor verdacht gedrag, zo detecteer je eventueel gevaar op tijd.