有关NSA / GCHQ侦听操作的最新消息令人恐惧。我相信,作为开发人员,我们有责任保护用户数据。我们可以采取类似本文所述的方法采取哪些步骤来防止数据被盗:http : //www.theguardian.com/world/2014/jan/27/nsa-gchq-smartphone-app-angry-birds-个人资料
《卫报》的文章虽然不错,但缺乏针对攻击的细节。因此,我不太担心这篇特定的文章,而将重点更多地放在如何预防“数据失窃”上。
要做的第一件事是对所有Web交互(例如Web服务调用)使用SSL。对其他协议适当地使用等效的加密选项(例如,电子邮件的TLS)。这将对保护“动态数据”大有帮助。这通常也很容易实现。考虑添加证书固定和类似技术以帮助防御中间人(MITM)攻击。
这是我去年的四篇博客文章,深入探讨了Android上的SSL:
(尽管该材料在我的书中是最新的)
等效建议可用于您引用的其他平台(我希望如此)。
对于“静态数据”(存储在设备上),可以考虑向用户提供加密功能。与SSL一样,该技术的细节将因平台而异。SQLCipher是个人的最爱,它可用于大多数平台,包括标签中的列表。但是,还有很多其他选择。
如果确实提供加密,请确保用户可以选择提供密码短语,而不是使用一些硬编码的密码短语或从其他设备上数据衍生的内容。如果可以在无需人工干预的情况下确定密码短语,则存在被发现或至少被攻击者自动获取的风险。
除此之外,我建议您提出针对特定平台技术的问题。像这样的“ Shotgun”问题,带有适用于各种平台的标签,在StackOverflow上的表现往往不太好。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句