Читать «Мобильное приложение как инструмент бизнеса» онлайн - страница 110

Аудит мобильного приложения может проводиться автоматически с использованием специального программного обеспечения или вручную при помощи подготовленных тестовых устройств. Ручная проверка более гибкая и точная, она занимает больше времени, стоит дороже, но позволяет лучше оценить защищенность приложения от злонамеренных воздействий.

Надо понимать, что злоумышленники могут добраться до чувствительной информации не только из-за уязвимостей самого приложения. Так, ОС Android от компании Google дает пользователям большие права по настройке и внесению изменений и поэтому считается менее защищенной, чем, например, iOS. Кроме того, политика обновления Android для каждого производителя своя. Некоторые из ходовых смартфонов несут на борту устаревшую версию этой ОС с давно известными уязвимостями, но владельцы не могут обновиться до официальных безопасных сборок – производитель прекратил поддержку устройства. Это накладывает на разработчиков дополнительные обязанности. Мобильное приложение должно контролировать версию операционной системы и не запускаться под теми версиями платформы, в которых выявлены критические уязвимости. Как вариант, при запуске в недовыверенной среде оно может ограничивать свой функционал.

Защита приложений, которые оперируют деньгами или персональными данными (сведениями о здоровье, контактами, локациями), должна быть усиленной. В противном случае вы рискуете потерять клиентов и репутацию, а также потратить на восстановление доверия много денег и времени.

Для платежных приложений в обязательном порядке рекомендуется обфускация кода – один из приемов противодействия изучению логики приложения. Перед компиляцией исходного кода в исполняемый файл имена методов и классов шифруются или кодируются, в логические конструкции языка добавляются ложные переходы, тупиковые ветви… Ломать такое приложение злоумышленнику будет слишком долго и дорого, он вряд ли за это возьмется.

С экономической целесообразностью не поспоришь: хорошо защищены те приложения, попытки взлома которых не окупаются. Приложений много, злоумышленник не станет тратить свое время понапрасну, а отправится на поиски более легкой добычи.

Обратите внимание, что следует проводить не только аудит безопасности мобильного приложения, но и аудит информационной безопасности компании в целом. Если приложение достаточно хорошо защищено, то злоумышленники могут достичь цели, подкупив сотрудника или проникнув в слабо защищенную локальную сеть. Нельзя проверить только одну составляющую системы информационной безопасности и считать, что дело выполнено, – вопрос безопасности нужно решать комплексно.

Глава 8

Маркетинг мобильного приложения

Иной маркетинг

Мобильность – это механизм, позволяющий маркетологам понять, что они должны достигать пользователей именно там, где эти люди находятся.

Энн Хэндли, MarketingProfs

Готовое приложение не повод для отдыха, его еще нужно сделать популярным и прибыльным. Приложение не является тем, что само по себе будет приносить деньги, как, например, дивиденды в банке, и не станет дороже со временем, как изысканное вино. Все точно наоборот: нужно приложить усилия, чтобы приложение стало прибыльным, и делать это сразу, потому что программы быстро устаревают.