Toepassing verharding

Wat is toepassing hardening?

Hardening van applicaties is een concept en techniek in cyberbeveiliging waarbij gebruik wordt gemaakt van codeverduistering, white-box cryptografie en andere technieken om applicaties te beschermen tegen mobiele fraudetechnieken, zoals reverse engineering en manipulatie. Het omvat maatregelen om het voor een kwaadwillende moeilijker te maken een app aan te vallen. Het harden van applicaties zou een best practice moeten zijn voor bedrijven om hun apps te beschermen, beveiligingsrisico's te verminderen en misbruik, bedrog en herverpakking te voorkomen.

In-app bescherming, applicatie hardening, en applicatie afscherming

Hardening van toepassingen en afscherming van toepassingen zijn subsets van in-app bescherming. In-app bescherming is ontworpen om applicaties van binnenuit te verdedigen en is zeer geschikt voor een zero-trust benadering van app bescherming. In-app bescherming wordt het best gebruikt voor hoogwaardige toepassingen die draaien op apparaten zonder toezicht of in onvertrouwde omgevingen.  

Het hardenen van applicaties omvat preventiemogelijkheden die het voor een aanvaller moeilijker maken om een aanval uit te voeren. Applicatieafscherming omvat anti-tamperingmaatregelen die bedoeld zijn om een aanvaller te verstoren en detectiemogelijkheden die bepalen of de app-omgeving kan worden vertrouwd.

In-app bescherming omvat ook mogelijkheden zoals anti-bot technologieën, clickjacking bescherming, runtime applicatie zelfbescherming, multifactor authenticatie, en risicoanalyse.

Veronderstellingen over mobiele beveiliging die toepassingen kwetsbaar maken

Ontwikkelaars van mobiele apps kunnen niet alle omgevingen controleren waarin hun apps zullen worden gebruikt. Gebruikers kunnen hun toestel bijvoorbeeld jailbreaken of rooten, waardoor de beveiligingen van het besturingssysteem worden uitgeschakeld. Daarom is het harden van applicaties een belangrijk onderdeel van de beveiliging van mobiele applicaties, omdat het beveiligingen inbouwt in de app zelf, ongeacht de beveiligingsstatus van het apparaat of het besturingssysteem.

Twee veel voorkomende misvattingen vergroten de risico's van een mobiele app compromittering.

Ten eerste gaan mensen ervan uit dat de officiële apps stores - Apple App Store en Google Play - alleen legitieme, veilige apps aanbieden om te downloaden. De officiële apps stores scannen apps die ontwikkelaars indienen op malware en controleren of de toegang van de apps tot gebruikersgegevens is gemedieerd.  

Maar de realiteit is dat de app stores niet in staat zijn elke kwaadaardige app te onderscheppen, omdat er gewoon te veel apps zijn om alle slechte uit te roeien en als een betrouwbare veiligheidscontrole te fungeren.

Ten tweede gaan velen ervan uit dat de besturingssystemen iOS en Android voldoende beveiliging bieden voor mobiele apps die op hun apparaten worden gedownload. De realiteit is dat patches voor kwetsbaarheden in Android of iOS niet altijd onmiddellijk beschikbaar zijn en dat gebruikers misschien niet altijd cyberhygiëne betrachten door hun toestellen regelmatig bij te werken. Bovendien implementeren ontwikkelaars in sommige gevallen de door de besturingssystemen geboden versleutelingsmogelijkheden niet correct.

Mobile App Shielding

Learn how to reduce fraud, save money, and protect revenue with app shielding

Make the case for stronger mobile app security and learn why app shielding with runtime-protection is especially valuable given the current mobile threat landscape.
 

Download the White Paper

Redenen om uw toepassingen te harden

Er zijn drie hoofdredenen voor app hardening: intellectueel eigendom beveiligen, app-integriteit beschermen, en gevoelige gegevens in de app veiligstellen.

Binnen een aanvraag is er intellectuele eigendom (IP), zoals concepten, innovaties en uitvindingen die het bedrijf een concurrentievoordeel geven. Het bezit van een werkende broncode geeft toegang tot alle IP die in de app is gecodeerd. Door de broncode van de app te analyseren, kan een hacker IP stelen. Applicatie hardening kan IP veilig houden.

App-integriteit is ook een punt van zorg voor app-ontwikkelaars. Kwaadwillenden kunnen een app inspecteren en zo mogelijk wijzigen om deze te klonen, gegevens te stelen of via API's gegevens te scrapen. Een app die niet is beveiligd met obfuscation en whitebox cryptografie is als een open boek. Aanvallers kunnen een statische analyse uitvoeren van de code van de app in het volle zicht en gebieden vinden om aan te vallen en uit te buiten. Als onderdeel van een gelaagde verdedigingsstrategie zouden bedrijven ook mechanismen moeten hebben die anti-debug en anti-tamper functionaliteit toevoegen aan een toepassing om aanvallen op de integriteit ervan te beschermen, op te sporen en erop te reageren.

Een populaire aanvalstechniek is het misbruiken van app-beveiligingslekken om gevoelige privégegevens te stelen. Aangezien gegevens die tijdens runtime worden gebruikt, kunnen worden blootgesteld op manieren die niet gelden voor gegevens in rust of in transit, en aanvallers kunnen leren hoe zij dit kunnen uitbuiten met debuggers, emulators en andere instrumenten, is de volgende beste strategie het beperken van ongeoorloofd gebruik van debuggers, emulators en andere instrumenten die hackers gebruiken om toegang te krijgen tot gegevens in apps en deze te wijzigen. Bovendien zou een aanvaller, als de encryptiesleutels niet goed beschermd zijn, die sleutels kunnen stelen en gebruiken om toegang te krijgen tot gegevens in transit. Applicatieverharding en andere in-app beschermingstechnieken beveiligen apps en de gegevens die er doorheen stromen door de aanvalsvectoren die hackers gebruiken uit te schakelen.

Toepassing hardening technieken

Het hardenen van applicaties omvat verschillende technieken om apps te beschermen tegen aanvallers. Deze omvatten:

Code Obfuscation

Door codeverduistering wordt de code van de app vervormd, zodat het moeilijker wordt apps te reverse engineeren. Daarom is het moeilijker om een app als doelwit te kiezen door hem moeilijker leesbaar te maken, wat het ook moeilijker maakt om zijn IP te stelen of hem opnieuw te verpakken. Code obfuscation gebruikt verschillende technieken om apps te beschermen. Softwarecomponenten en -identifiers kunnen worden hernoemd. Dummy code die nooit wordt gebruikt kan worden toegevoegd, en strings kunnen worden gecodeerd. Code kan opnieuw worden gecompileerd en in een interpreter of virtuele machine worden uitgevoerd. Andere technieken om code te versluieren zijn reflectie en packing.

White boxing of white-box cryptografie

Deze aanpak biedt een alternatief voor het gebruik van de eigen tools van moderne platforms, zoals Apple iOS's Keychain of Android Keystore. Als een bedrijf zijn apps op jailbroken apparaten moet laten draaien, kan dit een nuttige cryptografische techniek zijn. Ook kan white boxing worden gebruikt als de indringer de standaardlocatie, zoals Keychain/Secure Enclave voor iOS of KeyStore voor Android, ziet voor inloggegevens op een apparaat om een aanval te richten.  

Andere technieken:

  • Certificate pinning, waarbij partijen die bij een wederzijds authenticatieproces betrokken zijn, bepaalde certificaten kunnen vastleggen, kan worden gebruikt om man-in-the-middle-aanvallen tegen te gaan.
  • Resource-encryptie houdt in dat app-componenten, zoals klassen en strings, worden gecodeerd.
  • Auto-expiry stelt een termijn in waarna een gebruiker wordt uitgelogd na een periode van inactiviteit.
  • Stand-alone toetsenborden kunnen worden gebruikt om pogingen tot keylogging te stoppen, en detectie van onbevoegde toetsenborden kan worden gebruikt om onbevoegde toetsenborden op te sporen.
  • Polymorfisme is een methode waarbij de code kan worden gewijzigd om reverse engineering te bemoeilijken.

Toepassing hardening use cases

Mobiel bankieren is een van de toepassingen voor het harden van applicaties. Meer mobiele gebruikers vertrouwen op hun toestellen om te bankieren. Fraudeurs maken misbruik van elke leemte in de beveiliging die ze kunnen vinden. Applicatieverharding helpt voorkomen dat fraudeurs kwaadaardige exploitaties van de app voor mobiel bankieren ontwikkelen, waardoor het voor een aanvaller moeilijker wordt om te slagen.   

Mobiele gezondheidszorg-apps verwerken beschermde gezondheidsinformatie (PHI) die valt onder de Health Insurance Portability and Accountability Act (HIPAA). Zorgaanbieders en anderen kunnen strenge straffen krijgen als hun telegezondheidsapps patiëntgegevens openbaar maken. Hardening van applicaties kan ervoor zorgen dat de vertrouwelijkheid van patiënten gehandhaafd blijft en dat HIPAA-boetes worden vermeden door ervoor te zorgen dat cyberaanvallers geen toegang hebben tot PHI.

Mobiele apps voor de detailhandel zijn een andere uitstekende toepassing voor het harden van applicaties. Zij verwerken kaartgegevens die vallen onder de Payment Card Industry Data Security Standard (PCI DSS). Onlinehandelaars die niet aan PCI DSS voldoen, kunnen boetes krijgen van kredietkaartmaatschappijen, het vertrouwen van hun klanten verliezen en zelfs controles door de Federal Trade Commission.   

Personeel van overheidsdiensten, zoals eerstehulpverleners, rechtshandhavers en overheidsinstanties, hebben toegang tot gevoelige informatie en verzenden en slaan deze op in hun mobiele apps. Deze gegevens kunnen onder de HIPAA, het beleid van instanties of privacyregels vallen, en moeten dus worden beschermd door krachtige beveiligingsmaatregelen, zoals het harden van applicaties.  

Mobiele apps voor consumenten vormen een brug tussen de buitenwereld en gevoelige interne klantendatabases, waardoor ze een doelwit vormen voor aanvallers. Het hardenen van applicaties kan aanvallers blokkeren of anderszins verhinderen misbruik te maken van de talrijke kwetsbaarheden in mobiele apps die tot gegevensdiefstal kunnen leiden.   

Nu het aantal verbonden apparaten en apps exponentieel toeneemt, wordt het aanvalsoppervlak voor hackers om netwerken thuis, op de werkplek en in de fabriek te infiltreren in een vergelijkbaar tempo groter. Apps die aangesloten apparaten besturen, zijn kwetsbaar voor aanvallen. Hardening van toepassingen kan die toepassingen beveiligen om ingebedde systemen te beschermen op manieren die antivirusoplossingen en andere conventionele beveiligingshulpmiddelen niet kunnen.

Delivering Trust Through Mobile App Shielding and Hardening
Blog

Delivering Trust Through Mobile App Shielding and Hardening

In the increasingly crowded and competitive financial services market, financial institutions (FIs) are prioritizing mobile app development and the mobile user experience in order to maximize customer acquisition and retention. 

Read the Blog

Help bescherming te bieden tegen deze aanvalsstrategieën met applicatieverharding

Het harden van applicaties kan helpen bij de verdediging van apps tegen verschillende aanvalscenario's, waaronder reverse engineering, repackaging en malafide toetsenborden.  

Reverse engineering is de praktijk van het analyseren van een app om ontwerp- en implementatie-informatie te extraheren. De techniek kan voor legitieme doeleinden worden gebruikt, maar een aanvaller kan er ook gebruik van maken om code te analyseren en malware te ontwikkelen die apps voor snode doeleinden misbruikt.  

Bij een repackaging-aanval maakt een hacker reverse-engineering van een legitieme app, voegt er kwaadaardige code aan toe en uploadt de app naar een app store. Dit is een favoriete techniek van aanvallers die zich richten op apps voor mobiel bankieren.

Alternatieve toetsenbord-apps, die door mensen worden gebruikt om hun toetsenbord aan te passen, kunnen ook kwaadaardige code verbergen die gegevens steelt of andere kwaadaardige acties uitvoert.

Het komt erop neer dat het harden van applicaties apps beschermt tegen kwaadaardige activiteiten en gevoelige informatie gedurende hun hele levenscyclus vrijwaart van cybercriminelen. Het harden van applicaties maakt deel uit van een gelaagde aanpak van app-beveiliging die runtime-bescherming, sterke authenticatie en andere technieken omvat. Gelaagde beveiliging kan helpen digitale transformatie-initiatieven te versnellen, operationele kosten te verlagen en nieuwe groeikansen te creëren.

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften