Mempersiapkan Aplikasi Android Anda untuk Tinjauan Keamanan Independen

Mulai 20 Juli 2022, developer Android yang memublikasikan aplikasi mobile baru atau yang diperbarui di Google Play Store harus menyatakan cara aplikasi mereka mengumpulkan, membagikan, dan mengamankan data. Bagian keamanan Data Google Play Store yang baru memberikan transparansi yang lebih besar dan memungkinkan pengguna untuk memeriksa praktik keamanan dan privasi aplikasi mobile Android untuk memutuskan mana yang akan diunduh. Pengembang dapat mengambil langkah ekstra untuk menjaga kepercayaan pengguna dan menunjukkan standar keamanan dan privasi mobile yang tinggi dengan menjalani tinjauan keamanan independen opsional. Didirikan oleh Google dan mitra industri keamanan , App Defense Alliance (ADA) membentuk mobile application security assessment (MASA) untuk memvalidasi aplikasi seluler terhadap standar industri yang diakui secara global.

Developer aplikasi mobile dapat meminta lab resmi ADA agar aplikasi mereka dinilai berdasarkan persyaratan Open Web Application Security Project (OWASP) standar verifikasi keamanan aplikasi seluler (MASVS) L1 untuk mendapatkan validasi MASA. Developer yang aplikasi selulernya telah lulus tinjauan keamanan independen akan dapat menyoroti perbedaan itu di bagian keamanan Data Google Play mereka dengan lencana tinjauan keamanan independen.

Pakar keamanan mobile dari lab resmi ADA menggunakan spesifikasi MASA yang dibuat dari panduan pengujian keamanan mobile (MSTG) OWASP melalui campuran pengujian keamanan aplikasi otomatis dan manual untuk menilai aplikasi Android secara independen terhadap serangkaian pemeriksaan di enam area utama.

Untuk mempersiapkan tinjauan keamanan independen mereka, pengembang harus mengikuti praktik terbaik pengkodean aman ini saat membuat aplikasi mobile Android mereka.

Penyimpanan Data Android: Keamanan dan Privasi

● Gunakan sistem Android Keystore untuk menyimpan kredensial dengan aman termasuk kata sandi, kunci pribadi, kunci kriptografi, dan informasi lainnya.
● Jangan simpan data sensitif di penyimpanan eksternal.
● Jangan menulis data sensitif ke sistem atau log aplikasi.
● Jangan cache input sensitif, seperti bidang sandi.
● Menutupi data sensitif selama input pengguna.
● Isi bagian keamanan data konsol Google Play secara akurat, termasuk kode aplikasi dan SDK.

Enkripsi

● Periksa kode pihak pertama dan ketiga untuk mengonfirmasi penggunaan perpustakaan dan algoritme kriptografi standar industri (dengan pengaturan yang disarankan).
● Hindari algoritme kriptografi yang ketinggalan zaman (seperti MD5 atau SHA-1) untuk data sensitif atau rutinitas autentikasi.
● Jangan melakukan hardcode kunci kriptografi atau vektor inisialisasi (IV).
● Untuk keamanan, gunakan generator nomor pseudorandom (PRNG) yang sesuai dengan persyaratan keamanan FIPS 140-2 untuk modul kriptografi.

Otentikasi dan Manajemen Sesi

● Pastikan titik akhir API yang menyediakan akses ke data sensitif memerlukan autentikasi.
● Gunakan pengidentifikasi sesi yang dibuat secara acak.
● Pastikan sesi berakhir pada titik akhir jarak jauh saat pengguna logout.
● Menyertakan persyaratan kompleksitas sandi yang diterapkan pada sisi klien dan server.
● Aktifkan perlindungan brute force untuk titik akhir autentikasi.
● Pastikan token memiliki kedaluwarsa/batas waktu yang wajar.

Komunikasi Jaringan Android

● Mengirimkan semua data aplikasi melalui TLS.
● Pastikan aplikasi memverifikasi validitas sertifikat selama pertukaran.
● Deklarasikan semua data yang dikirimkan.

Platform

● Jangan meminta izin aplikasi yang tidak perlu.
● Validasi masukan apa pun yang diterima aplikasi Anda dari sumber eksternal dan bersihkan jika perlu.
● Pastikan fungsionalitas sensitif dilindungi dari akses yang tidak diinginkan untuk keamanan dan privasi.

Kualitas Kode

● Hapus semua simbol debug dari aplikasi dan pustaka.
● Hapus kode debug (seperti pengaturan tersembunyi).
● Nonaktifkan pencatatan verbose.
● Akun untuk SDK pihak ketiga di bagian keamanan data.
● Perbarui SDK pihak ketiga dan hapus kerentanan kritis.
● Aktifkan PIC dan perlindungan stack smashing di aplikasi dan perpustakaan.

Memperoleh validasi MASA dari lab resmi ADA memberi pengembang keunggulan kompetitif untuk mendorong lebih banyak unduhan dengan menunjukkan komitmen mereka terhadap keamanan dan privasi aplikasi mobile . Saat diberi pilihan, pengguna aplikasi mobile lebih cenderung mengunduh dan menggunakan aplikasi Android dengan lencana tinjauan keamanan independen di Google Play. Dan perusahaan dengan persyaratan kontrol risiko yang lebih tinggi seperti keuangan, perawatan kesehatan, energi, dan pemerintah lebih cenderung membeli dan menggunakan aplikasi terverifikasi ini.