با گسترش روزافزون استفاده از تلفن‌های هوشمند و برنامه‌های کاربردی موبایل، اهمیت امنیت و حفاظت از داده‌های حساس کاربران بیش از پیش افزایش یافته است. دولت انگلستان با توجه به این نیاز مبرم، مجموعه‌ای جامع از دستورالعمل‌ها را برای توسعه‌دهندگان برنامه‌های موبایل منتشر کرده است. این دستورالعمل‌ها با هدف افزایش امنیت، کارایی و تجربه کاربری، به توسعه‌دهندگان کمک می‌کند تا برنامه‌هایی امن و کاربرپسند ایجاد کنند. در این متن دستورالعمل‌هایی که دولت انگلستان وضع کرده، بررسی و شرح داده خواهند شد.

۱. APIهای ذخیره‌سازی داده: اطلاعات حساس تنها زمانی که واقعا نیاز است باید در دستگاه ذخیره شوند. استفاده از APIهای بومی که در بیشتر پلتفرم‌های مدرن موبایل موجود است، توصیه می‌شود. این APIها امکان ذخیره‌سازی داده‌ها در سطوح مختلف امنیتی را فراهم می‌کنند. داده‌های حساس باید همیشه رمزگذاری شده و توسط مکانیزم احراز هویت، مانند رمز عبور، محافظت شوند. همچنین، هنگامی که دیگر به این داده‌ها نیاز نیست، باید به‌طور ایمن حذف شوند.

۲. رمزنگاری: یک لایه رمزنگاری داده اضافی قبل از استفاده از APIهای ذخیره‌سازی داده‌های دستگاه اضافه کنید. ذخیره‌سازی کلیدهای رمزنگاری در دستگاه می‌تواند خطراتی را به همراه داشته باشد، بنابراین بهتر است این کلیدها در سرورهای راه دور ذخیره شوند. این اقدام مانع از دسترسی مهاجمان به کلیدها از طریق دستگاه می‌شود، هرچند نیاز به اتصال اینترنت و احراز هویت به سرور وجود دارد.

۳. مجوز دسترسی به داده‌ها: اطلاعات حساس باید به‌طور ایمن ذخیره شوند و تا زمانی که کاربر احراز هویت نشده است، نباید به آن‌ها دسترسی داشت. احراز هویت باید از طریق رمز عبور یا روش‌های مشابه انجام شود.

۴. انتقال امن داده‌ها: اطلاعات حساس باید از طریق مکانیزم‌های رمزگذاری مناسب بین دستگاه و سرور منتقل شوند. از SSL Pinning برای محدود کردن اتصالات به میزبان با گواهی معتبر استفاده کنید. هرگز اطلاعات حساس را از طریق اتصال رمزگذاری نشده ارسال نکنید.

۵. مدیریت Sessionها: این امری است که باید از طریق سرور پشتیبان انجام شود. سرور باید برنامه را به عنوان یک نهاد غیرقابل اعتماد تلقی کرده و تنها به محتوای مجاز دسترسی دهد. محدودیت زمانی برای Sessionها اعمال کنید و پس از آن، برنامه باید مجددا احراز هویت شود. توصیه می‌شود برای اطلاعات حساس، محدودیت زمانی ۱۵ دقیقه باشد.

۱. حفاظت پشته: برنامه‌ها باید به گونه‌ای کامپایل شوند که از مکانیزم‌های محافظتی مانند Address Space Layout Randomisation (ASLR) و Stack Canaries استفاده کنند تا هکرها نتوانند به راحتی به آن‌ها آسیب برسانند.

۲. مهندسی معکوس: برای دشوارتر کردن مهندسی معکوس، از زبان‌هایی مانند C برای اقدامات حساس استفاده کنید و تکنیک‌های مبهم کردن کد را پیاده‌سازی کنید. این تکنیک‌ها خواندن کد منبع را برای مهاجمان دشوارتر میکنند.

۳. تشخیص Jailbreak یا Root: دستگاه‌های Jailbreak شده یا Root شده تهدیدی برای داده‌های حساس هستند. پیاده‌سازی بررسی‌های امنیتی برای تشخیص این دستگاه‌ها به برنامه اجازه می‌دهد تا اقدامات مناسب را انجام دهد.

۴. برنامه‌های شخص ثالث:  استفاده از برنامه‌های شخص ثالث در دستگاه‌هایی که داده‌های حساس را مدیریت می‌کنند، می‌تواند خطراتی به همراه داشته باشد. سازمان‌ها باید از محافظت‌های شبکه و استفاده مناسب از مخازن داده برای جلوگیری از نشت داده استفاده کنند و با توسعه‌دهندگان برنامه‌ها تماس بگیرند تا درک بهتری از محصول خود به دست آورند.

دستورالعمل‌های جامع دولت انگلستان برای توسعه برنامه‌های کاربردی موبایل، راهنمایی ارزشمند برای توسعه‌دهندگان است تا بتوانند برنامه‌هایی با امنیت بالا و کارایی مطلوب ایجاد کنند. این دستورالعمل‌ها با تاکید بر ذخیره‌سازی امن داده‌ها، استفاده از تکنیک‌های رمزنگاری و مدیریت Session، تضمین می‌کنند که اطلاعات حساس کاربران در امان باشد. همچنین، تقویت برنامه از طریق حفاظت پشته، مهندسی معکوس و تشخیص Jailbreak یا Root به توسعه‌دهندگان کمک می‌کند تا برنامه‌هایی مقاوم و ایمن ارائه دهند. با رعایت این دستورالعمل‌ها، می‌توان به بهبود تجربه کاربری و افزایش اعتماد کاربران به برنامه‌های موبایل دست یافت.