Is mijn app wel veilig (genoeg)?

Door Bas van Kuijck, mobile developer - @basvankuijck
8 juli 2016 - 4181 x bekeken - Categorieën: Mobile, Kennis

App ontwikkeling vraagt om een zorgvuldige aanpak. Een grote halen snel thuis aanpak kan gevaarlijk zijn. Als niet goed nagedacht wordt over veiligheid of dit onderwerp niet continu de aandacht krijgt, loop je risico’s. Het is belangrijk verantwoordelijkheid te nemen voor het beveiligen van gebruikersgegevens. En hackers geen vrij spel te geven. Want techniek ontwikkelt zich razendsnel, maar ook hackers zitten niet stil. Er zijn steeds meer mogelijkheden om eventuele zwakheden op te sporen. Een blijvende grip op veiligheid heb je alleen als je regelmatig controleert hoe je ervoor staat.

Het is natuurlijk niet zo dat alle apps direct gevaar lopen. Maar veel apps blijken te falen in een standaard security check. Een kwalijke zaak. Er zijn verschillende scenario’s waarbij meer alertheid geboden is. De onderstaande vragen helpen je verder, om een reële inschatting te maken wat nodig is voor het creëren en waarborgen van een veilige app.

Welke kritische vragen kun je jezelf of je app bouwer stellen?

Hoe hoog staat veiligheid op de agenda?

Werk je samen met een gecertificeerde app bouwer? Wat voor app development pakket wordt gebruikt? En welke ontwikkelmethode? Nergens kleeft meteen een goed of fout aan, het belangrijkste om te weten is: hoe hoog staat veiligheid op de agenda? Vinden er regelmatig updates plaats? Wordt er gekeken naar de beste veiligheidsmaatregelen? Een ontwikkelpartij moet vertrouwen bieden op dit vlak. Want niet alleen tot de lancering, ook in de tijd die erna volgt, verdient veiligheid een plekje op de agenda. Je bent hiermee dus niet klaar als de app af is. Technologie ontwikkelt zich snel, besturingssystemen krijgen updates. Allemaal ontwikkelingen die van invloed kunnen zijn op de (veiligheid van je) app. En hackers zitten ook niet stil. Twijfel je over bepaalde punten, dan is het meer dan wenselijk om hier actie in te ondernemen. Als gegevens te stelen zijn, kunnen de gevolgen groot zijn. Sinds de meldplicht datalekken van kracht is, hangen er bovendien grote boetes in de lucht. En dan heb ik het nog niet eens over de mogelijke imagoschade die het lekken van belangrijke data teweeg kan brengen. Slim dus, om de juiste maatregelen te treffen.

Is er sprake van privacy gevoelige data in de app?

Bevat de app gevoelige informatie? Zo ja, stel jezelf dan de belangrijke vraag: wat gebeurt er als dit lekt? Niet alleen is het voor gebruikers heel vervelend als er privégegevens op straat liggen. Ook voor je organisatie kan dit hele vervelende gevolgen hebben. Goed dus om na te gaan of er gevoelige data in de app wordt gebruikt en vooral hoe. Onder gevoelige informatie vallen voor de meesten adresgegevens, maar voor sommigen kan ook naam en e-mailadres al tot de categorie ‘gevoelig’ behoren. Veel apps bevatten ook privacygevoelige data als huidige locatie, betaalgegevens, gezondheidsinformatie, persoonlijke foto’s en video’s en soms zelfs biometrische kenmerken (gezichtsherkenning).

Het grootste gevaar voor het lekken van gegevens zit in het verzamelen van gegevens binnen een app (ook vanaf andere apparaten). Hoe wordt hiermee omgegaan? Worden persoonsgegevens verpakt en versleuteld verstuurd? Dan zit je goed. Wanneer dit niet het geval is, is informatie eenvoudig te onderscheppen bij onder andere het gebruik van openbare WiFi punten. Twijfels? Vraag het je app bouwer!

Vindt er communicatie plaats tussen de app en een webservice?

Met andere woorden, worden er gegevens vanuit de app doorgezet naar een webservice? En zo ja, hoe wordt dit beveiligd? Onder webservice communicatie valt onder andere het registreren van gebruikers, inloggen, data ontvangen en versturen. Zowel de app zelf als de webservice moeten op orde zijn, anders is elke vorm van veiligheidsgarantie totaal niks waard. Een app die communiceert met een webservice, heeft een API nodig. En bij inzet hiervan is autorisatie noodzakelijk. Is die er niet, dan is het foute boel. De communicatie tussen devices en webservices kan beveiligd worden door Secure Sockets Layer (SSL) / Transport Layer Security (TLS) toe te passen voor het beveiligen van de internetverbinding, informatie is dan tijdens transport niet leesbaar voor derden. Een aanvullende beveiligingsoptie is App Transport Security (ATS), hiermee wordt in de app aangegeven welke hosts wel of niet mogen worden benaderd en wat voor vorm van beveiliging minimaal vereist is.

Hoe vaak heeft de app een veiligheidscontrole gehad?

Techniek ontwikkelt zich razendsnel. Maar dus ook de mogelijkheden die hackers hebben om binnen te dringen. Het is dus van belang om dit voor te zijn en kwaadwillenden geen vrij spel te geven. Maar hoe? Een regelmatige veiligheidscheck helpt inzicht te verkrijgen in mogelijke zwakheden. Gedrags- en context controles zijn aan te raden als het gaat om zeer gevoelige informatie. Het is belangrijk om niet alleen te kijken naar de app zelf, maar ook alle gebruikte servers en de infrastructuur te controleren op eventuele kwetsbaarheden. Want je bent zo sterk als je zwakste schakel. Een synergie tussen de verschillende systemen is noodzakelijk.

Hoe vaak heeft de app een update gehad?

Nog een simpele, maar cruciale vraag in het checken van je veiligheidsstatus: heeft jouw app wel eens een update gehad? Ook de besturingssystemen worden een keer in de zoveel tijd geüpdatet. De laatste update van Apple is bijvoorbeeld de overgang van iOS8 naar iOS9 geweest. Zo'n besturingssysteem-update kan gevolgen hebben voor je app. Soms voor de werking ervan. Maar zeker ook voor de veiligheid. Goed dus om hier, als er sprake is van gevoeligheid, een specialistisch oog naar te laten kijken.

Conclusie: achterover leunen is geen optie

App beveiliging is nooit klaar

Zo'n 75% van de apps komt niet door een basis veiligheidscheck heen, stelde onderzoeksbureau Gartner, kijkend naar 2015. Mogelijk is er wel wat vooruitgang geboekt, maar nog steeds is het dramatisch gesteld met de veiligheid van veel apps. Een ernstige zaak, als je het mij vraagt. Naast de focus op functionaliteit, verdient een focus op veiligheid net zoveel aandacht. Maar door gebrek aan mobile expertise, is te zien dat er over het algemeen nog veel fout gaat. Hoewel het verstandig is om al vroeg in het ontwikkelingsproces aandacht te hebben voor security, ben je eigenlijk ook na lancering nooit klaar. App veiligheid vraagt om voortdurende alertheid. Blijf checken op zwakke plekken. En blijf monitoren op ‘suspicious behaviour’ om mogelijk gevaar te detecteren.

Meer zekerheid over jouw app? Ga dan voor een app security check.

Ben je er niet gerust op? Spring dan in het diepe! Zorg dat je app uitvoerig wordt gecheckt. Misschien zelfs tot diep in de broncode, als dit nodig blijkt. Bij E-sites faciliteren we ook app security checks, aan de hand van speciale checklists waarmee we specifieke risicopunten nalopen. Uit deze risico-analyse volgen concrete aanbevelingen voor het beveiligen van jouw app.

Download onze whitepaper Mobile App Security

Meer weten over app security? Lees dan onze whitepaper Mobile App Security, een uitgebreide handleiding over de musts en mogelijkheden van mobile app security.

Interesse in een verdiepende veiligheidscheck? Vraag deze aan!

Van een goed eHealth idee werkelijkheid maken: E-sites organiseert hackathon

Door Daan Jansen

Praten, maar ook doen! Vanuit die insteek willen we digitale innovatie binnen de apothekersbranche een duwtje in de rug geven… - Lees meer

Lees verder