CSA സേഫ് സ്റ്റാൻഡേർഡ് ആപ്പ് ഉപയോക്തൃ ഗൈഡ്

CSA-യുടെ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ് ഒരു കൂട്ടം മാർഗ്ഗനിർദ്ദേശങ്ങളും മികച്ചതുമാണ്
പ്രാമാണീകരണ സുരക്ഷാ നിയന്ത്രണങ്ങൾ നടപ്പിലാക്കുന്നതിനുള്ള സമ്പ്രദായങ്ങൾ
മൊബൈൽ ആപ്ലിക്കേഷനുകൾ. സുരക്ഷിതമായ ആധികാരികത ഉറപ്പാക്കാൻ ഇത് ലക്ഷ്യമിടുന്നു
മെക്കാനിസങ്ങൾ, അനധികൃത ആക്‌സസ്സിൽ നിന്ന് സെൻസിറ്റീവ് ഡാറ്റ പരിരക്ഷിക്കുക. ദി
വിവിധ സംഘടനകളുമായി കൂടിയാലോചിച്ചാണ് സ്റ്റാൻഡേർഡ് വികസിപ്പിച്ചെടുത്തത്
ഒപ്പം സൈബർ സുരക്ഷാ മേഖലയിലെ വിദഗ്ധരും.

ഉദ്ദേശ്യം, വ്യാപ്തി, ഉദ്ദേശിച്ച പ്രേക്ഷകർ

CSA-യുടെ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ ഉദ്ദേശ്യം നൽകുക എന്നതാണ്
നടപ്പിലാക്കുന്നതിനുള്ള ശുപാർശകളും മികച്ച രീതികളും ഉള്ള ഡെവലപ്പർമാർ
മൊബൈൽ ആപ്ലിക്കേഷനുകളിൽ സുരക്ഷിതമായ പ്രാമാണീകരണ നിയന്ത്രണങ്ങൾ. നിലവാരം
ഇതിൽ ഉൾപ്പെട്ടിരിക്കുന്ന ഡവലപ്പർമാർക്കും സ്ഥാപനങ്ങൾക്കും ഇത് ബാധകമാണ്
പ്രാമാണീകരണം ആവശ്യമായ മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ വികസനം. അത്
ആധികാരികതയുടെ മൊത്തത്തിലുള്ള സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനാണ് രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്
ഉപയോക്തൃ സ്വകാര്യത പ്രോസസ്സ് ചെയ്യുകയും പരിരക്ഷിക്കുകയും ചെയ്യുക.

അറിയിപ്പും ഡെവലപ്പർ മാർഗ്ഗനിർദ്ദേശവും

CSA-യുടെ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ് ഡെവലപ്പർമാർക്ക് മാർഗ്ഗനിർദ്ദേശം നൽകുന്നു
പ്രാമാണീകരണ സുരക്ഷാ നിയന്ത്രണങ്ങൾ നടപ്പിലാക്കുന്നു. അത് ഊന്നിപ്പറയുന്നു
വ്യവസായത്തിലെ മികച്ച രീതികൾ പിന്തുടരേണ്ടതിൻ്റെയും അത് ഉറപ്പാക്കേണ്ടതിൻ്റെയും പ്രാധാന്യം
പ്രാമാണീകരണ സംവിധാനങ്ങളുടെ സുരക്ഷിതമായ നടപ്പാക്കൽ. ഡെവലപ്പർമാർ
നടപ്പിലാക്കുന്നതിനുള്ള വിശദമായ മാർഗ്ഗനിർദ്ദേശത്തിനുള്ള മാനദണ്ഡം റഫർ ചെയ്യണം
ശുപാർശ ചെയ്യുന്ന സുരക്ഷാ നിയന്ത്രണങ്ങൾ.

ഡോക്യുമെൻ്റ് നിർവചനങ്ങളും സാധാരണ റഫറൻസുകളും

CSA-യുടെ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡിൽ ഡോക്യുമെൻ്റ് നിർവചനങ്ങളും ഉൾപ്പെടുന്നു
ഉപയോഗിച്ച പദാവലിയിൽ വ്യക്തത നൽകുന്ന മാനദണ്ഡ റഫറൻസുകൾ
മറ്റ് പ്രസക്തമായ വ്യവസായ മാനദണ്ഡങ്ങളും മാർഗ്ഗനിർദ്ദേശങ്ങളും പരിശോധിക്കുക.
ഡെവലപ്പർമാർ ഈ നിർവചനങ്ങളും റഫറൻസുകളും റഫർ ചെയ്യണം
സ്റ്റാൻഡേർഡിനെക്കുറിച്ചുള്ള മികച്ച ധാരണ.

ഉൽപ്പന്ന ഉപയോഗ നിർദ്ദേശങ്ങൾ

പ്രാമാണീകരണം

ഒട്ടുമിക്ക മൊബൈലുകളുടെയും അവശ്യ ഘടകമാണ് പ്രാമാണീകരണം
അപേക്ഷകൾ. ഇത് ഉപയോക്താക്കളുടെയും ക്ലയൻ്റുകളുടെയും ഐഡൻ്റിറ്റി പരിശോധിക്കുന്നു
നിർദ്ദിഷ്‌ടതയിലേക്ക് ആക്‌സസ് അനുവദിക്കുന്നതിന് മുമ്പ് അപ്ലിക്കേഷനുകളും ഉപകരണങ്ങളും
വിഭവങ്ങൾ അല്ലെങ്കിൽ ചില പ്രവർത്തനങ്ങൾ അനുവദിക്കുക. CSA-യുടെ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡ്
സുരക്ഷിതമായി നടപ്പിലാക്കുന്നതിനുള്ള ശുപാർശകളും മികച്ച രീതികളും നൽകുന്നു
പ്രാമാണീകരണ നിയന്ത്രണങ്ങൾ.

സുരക്ഷാ നിയന്ത്രണങ്ങൾ

CSA-യുടെ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡിൽ ഇനിപ്പറയുന്നവ ഉൾപ്പെടുന്നു
പ്രാമാണീകരണ സുരക്ഷാ നിയന്ത്രണങ്ങൾ:

ID	നിയന്ത്രണം
AUTHN-BP01	ആപ്പ് ആധികാരികമാക്കാൻ മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ (എംഎഫ്എ) ഉപയോഗിക്കുന്നു ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ.
AUTHN-BP02	നിയന്ത്രണ വിവരണം
AUTHN-BP03	നിയന്ത്രണ വിവരണം
AUTHN-BP04	നിയന്ത്രണ വിവരണം
AUTHN-BP05	നിയന്ത്രണ വിവരണം
AUTHN-BP06	നിയന്ത്രണ വിവരണം

AUTHN-BP01 - മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ (MFA)

ഒരു പരമ്പരാഗത സിംഗിൾ-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ സിസ്റ്റത്തിൽ, ഉപയോക്താക്കൾ
സാധാരണയായി എന്തെങ്കിലും-നിങ്ങൾക്കറിയാം (ഉപയോക്തൃനാമങ്ങൾ പോലുള്ളവ) മാത്രം നൽകേണ്ടതുണ്ട്
പാസ്‌വേഡുകളും). എന്നിരുന്നാലും, ഐഡൻ്റിറ്റി സ്ഥിരീകരണത്തിൻ്റെ പാളികൾ MFA ചേർക്കുന്നു
എന്തെങ്കിലും-നിങ്ങൾക്ക്-ഉള്ളത് പോലെയുള്ള അധിക ഘടകങ്ങൾ ആവശ്യപ്പെടുന്നതിലൂടെ
എന്തോ-നിങ്ങൾ. ഇത് ക്ഷുദ്രക്കാർക്കായി കൂടുതൽ വെല്ലുവിളി ഉയർത്തുന്നു
അക്കൗണ്ടുകളിൽ വിട്ടുവീഴ്ച ചെയ്യാനും മൊത്തത്തിലുള്ള സുരക്ഷ വർദ്ധിപ്പിക്കാനും അഭിനേതാക്കൾ
പ്രാമാണീകരണ പ്രക്രിയ.

നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം

ഡെവലപ്പർമാർ സ്റ്റെപ്പ്-അപ്പ് MFA നടപ്പിലാക്കണം, അതിന് ഒരു ആവശ്യമാണ്
ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾക്കുള്ള അധിക പ്രാമാണീകരണ നില. ദി
CSA-യുടെ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ് ഇനിപ്പറയുന്ന MFA-യ്ക്ക് മുൻഗണന നൽകുന്നു
കോമ്പിനേഷനുകൾ:

ചിലത്-നിങ്ങൾക്കറിയാം
എന്തെങ്കിലും-നിങ്ങൾക്ക്-ഉണ്ട്

എന്തോ-നിങ്ങൾ

പതിവ് ചോദ്യങ്ങൾ (FAQ)

ചോദ്യം: CSA-യുടെ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ ഉദ്ദേശ്യം എന്താണ്?

ഉത്തരം: CSA-യുടെ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ ഉദ്ദേശ്യം നൽകുക എന്നതാണ്
നടപ്പിലാക്കുന്നതിനുള്ള ശുപാർശകളും മികച്ച രീതികളും ഉള്ള ഡെവലപ്പർമാർ
മൊബൈൽ ആപ്ലിക്കേഷനുകളിൽ സുരക്ഷിതമായ പ്രാമാണീകരണ നിയന്ത്രണങ്ങൾ.

ചോദ്യം: CSA-യുടെ സുരക്ഷിത ആപ്പിനായി ഉദ്ദേശിക്കുന്ന പ്രേക്ഷകർ ആരാണ്
സ്റ്റാൻഡേർഡ്?

A: CSA-യുടെ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡ് ഡെവലപ്പർമാർക്കും വേണ്ടിയുള്ളതാണ്
മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ വികസനത്തിൽ ഏർപ്പെട്ടിരിക്കുന്ന സ്ഥാപനങ്ങൾ
ആധികാരികത ആവശ്യമാണ്.

ചോദ്യം: മൾട്ടി ഫാക്ടർ നടപ്പിലാക്കുന്നതിൻ്റെ പ്രയോജനങ്ങൾ എന്തൊക്കെയാണ്
പ്രാമാണീകരണം (MFA)?

A: MFA നടപ്പിലാക്കുന്നത് ഐഡൻ്റിറ്റി സ്ഥിരീകരണത്തിൻ്റെ പാളികൾ ചേർക്കുന്നു
ക്ഷുദ്രകരമായ അഭിനേതാക്കൾക്ക് അക്കൗണ്ടുകളിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നത് കൂടുതൽ വെല്ലുവിളിയാണ്
പ്രാമാണീകരണ പ്രക്രിയയുടെ മൊത്തത്തിലുള്ള സുരക്ഷ വർദ്ധിപ്പിക്കുന്നു.

View Fullscreen

CSA-യുടെ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ് പതിപ്പ് 1.0 10 ജനുവരി 2024-ന് പുറത്തിറങ്ങി
2

കൂടിയാലോചനയിൽ:
ദി അസോസിയേഷൻ ഓഫ് ബാങ്ക്സ് സിംഗപ്പൂർ, സൈബർ കമ്മിറ്റിയിലെ സ്റ്റാൻഡിംഗ് കമ്മിറ്റി ഡെലോയിറ്റ് സൗത്ത് ഈസ്റ്റ് ഏഷ്യ റിസ്ക് അഡ്വൈസറി ഏണസ്റ്റ് & യംഗ് അഡ്വൈസറി Pte. Ltd. സിംഗപ്പൂരിലെ KPMG ലസാഡ മൈക്രോസോഫ്റ്റ് സിംഗപ്പൂർ പ്രൈസ് വാട്ടർഹൗസ് കൂപ്പേഴ്സ് റിസ്ക് സർവീസസ് പി.ടി.ഇ. ലിമിറ്റഡ്
നിരാകരണം:
സുരക്ഷാ നിയന്ത്രണം, സുരക്ഷാ നിയന്ത്രണത്തിൻ്റെ വിവരണം, സാങ്കേതിക നിർവ്വഹണ മാർഗ്ഗനിർദ്ദേശങ്ങൾ എന്നിവയെക്കുറിച്ചുള്ള ഫീഡ്‌ബാക്കിനും അഭിപ്രായങ്ങൾക്കും സ്റ്റാൻഡേർഡിനെക്കുറിച്ച് ഈ ഓർഗനൈസേഷനുകളോട് കൂടിയാലോചിച്ചു. നിയമപ്രകാരം അനുവദനീയമായ പരമാവധി പരിധി വരെ, CSA, കൂടാതെ ബാഹ്യ കൺസൾട്ടൻ്റുമാരും ഇവിടെ അടങ്ങിയിരിക്കുന്ന എന്തെങ്കിലും കൃത്യതകൾ, പിശകുകൾ കൂടാതെ/അല്ലെങ്കിൽ ഒഴിവാക്കലുകൾ അല്ലെങ്കിൽ ഏതെങ്കിലും തരത്തിലുള്ള നഷ്ടങ്ങൾ അല്ലെങ്കിൽ നാശനഷ്ടങ്ങൾ (ലാഭം, ബിസിനസ്സ്, ഗുഡ്വിൽ, അല്ലെങ്കിൽ പ്രശസ്തി എന്നിവയുടെ നഷ്ടം ഉൾപ്പെടെ , കൂടാതെ/അല്ലെങ്കിൽ ഏതെങ്കിലും പ്രത്യേക, ആകസ്മികമായ അല്ലെങ്കിൽ അനന്തരഫലമായ കേടുപാടുകൾ) ഏതെങ്കിലും ഉപയോഗവുമായി ബന്ധപ്പെട്ട് അല്ലെങ്കിൽ ഈ മാനദണ്ഡത്തെ ആശ്രയിക്കുന്നത്. മൊബൈൽ ആപ്ലിക്കേഷനുകൾ വികസിപ്പിച്ചെടുക്കുന്ന ഓർഗനൈസേഷനുകളും സേവന ദാതാക്കളും ഡെവലപ്പർമാരും അവരുടെ നിർദ്ദിഷ്ട സാഹചര്യങ്ങളിൽ സ്റ്റാൻഡേർഡ് എങ്ങനെ പ്രയോഗിക്കാമെന്ന് പരിഗണിക്കാൻ നിർദ്ദേശിക്കുന്നു, മൊബൈൽ വികസിപ്പിക്കുന്ന സ്റ്റാൻഡേർഡ് ഓർഗനൈസേഷനുകളിലെ ശുപാർശകളുടെ ഉള്ളടക്കവും/അല്ലെങ്കിൽ നടപ്പാക്കലും സംബന്ധിച്ച് അവരുടെ സ്വന്തം നിയമപരവും കൂടാതെ/അല്ലെങ്കിൽ സാങ്കേതിക ഉപദേശവും നേടുക. ആപ്പുകളും സേവന ദാതാക്കളും ഡെവലപ്പർമാരും സ്റ്റാൻഡേർഡിലെ ശുപാർശകൾ നടപ്പിലാക്കുമ്പോൾ പ്രൊഫഷണലായി വിലയിരുത്തണം, കൂടാതെ അവരുടെ പ്രത്യേക സാഹചര്യങ്ങളുമായി ബന്ധപ്പെട്ട് കൂടുതൽ നടപടികൾ ആവശ്യമാണോ എന്നും പരിഗണിക്കണം.
3

ഉള്ളടക്കം
ഇവരുമായി കൂടിയാലോചനയിൽ: …………………………………………………………………………………………………… 3 നിരാകരണം :… …………………………………………………………………………………………………………. 3 സ്റ്റാൻഡേർഡിനെ കുറിച്ച് ……………………………………………………………………………………………………………………………… 6 ഉദ്ദേശ്യം, വ്യാപ്തിയും ഉദ്ദേശിച്ച പ്രേക്ഷകരും …………………………………………………………………………………… 6 നോട്ടീസും ഡെവലപ്പർ മാർഗനിർദേശവും …………………… ………………………………………………………………. 7 ഡോക്യുമെൻ്റ് ഡെഫനിഷനുകളും നോർമേറ്റീവ് റഫറൻസുകളും ………………………………………………………………………… 8 1. ആധികാരികത ………………………………………… ………………………………………………………………………… 10
AUTHN-BP01 ………………………………………………………………………………………………. 11 AUTHN-BP01a ………………………………………………………………………………………………. 13 AUTHN-BP01b ………………………………………………………………………………………………. 14 AUTHN-BP01c ……………………………………………………………………………………………………………………………………………… 15
AUTHN-BP02 ………………………………………………………………………………………………. 16 AUTHN-BP03 ………………………………………………………………………………………………. 17
AUTHN-BP03a ………………………………………………………………………………………………. 18 AUTHN-BP03b ………………………………………………………………………………………………. 19 AUTHN-BP04 ………………………………………………………………………………………………. 20 AUTHN-BP05 ………………………………………………………………………………………………. 21 AUTHN-BP06 ………………………………………………………………………………………………. 22 ………………………………………………………………………………………………………… …….. 23 2. അംഗീകാരം ………………………………………………………………………………………………………… ….. 24 AUTHOR-BP01 ………………………………………………………………………………………………………… .. 25 AUTHOR-BP02 ………………………………………………………………………………………………………… .26 AUTHOR-BP03 ………………………………………………………………………………………… 27 AUTHOR-BP04 ………………………………………………………………………………………………………………………………………………… 28 ………………………………………………………………………………………………………… …….. 29 3. ഡാറ്റ സ്റ്റോറേജ് (ഡാറ്റ-അറ്റ്-റെസ്റ്റ്) ………………………………………………………………………………………………………… …. 30 സംഭരണം-BP01 ………………………………………………………………………………………………………… 31 സംഭരണം-BP02 ………………………………………………………………………………………………………… 32 സംഭരണം-BP02a …………………………………………………………………………………………………… 33 സംഭരണം-BP02b …………………………………………………………………………………………………… 34 സംഭരണം-BP03 ………………………………………………………………………………………………………… 35 ………………………………………………………………………………………………………… ........ 36 4. ആൻ്റി-ടിampഎറിംഗും ആൻ്റി റിവേഴ്‌സിംഗും……………………………………………………………………………………………… ………………………………………………………………………………………. 37 റെസിലിയൻസ്-ബിപി01 ………………………………………………………………………………………………. 38
4

റെസിലൻസ്-ബിപി03 …………………………………………………………………………………………………………. 41 റെസിലിയൻസ്-ബിപി04 ………………………………………………………………………………………………. 42 റെസിലിയൻസ്-ബിപി05 ………………………………………………………………………………………………. 43 റെസിലിയൻസ്-ബിപി06 ………………………………………………………………………………………………. 44 റെസിലിയൻസ്-ബിപി07 ………………………………………………………………………………………………. 45 റഫറൻസുകൾ…………………………………………………………………………………………………………………………………………………………………………
5

സ്റ്റാൻഡേർഡിനെ കുറിച്ച്
ആമുഖം ധനകാര്യ സ്ഥാപനങ്ങൾ, ടെക് ഓർഗനൈസേഷനുകൾ, കൺസൾട്ടൻസി സ്ഥാപനങ്ങൾ, സർക്കാർ ഏജൻസികൾ എന്നിവയിൽ നിന്നുള്ള വ്യവസായ പങ്കാളികളുമായി കൂടിയാലോചിച്ച് സിംഗപ്പൂരിലെ സൈബർ സെക്യൂരിറ്റി ഏജൻസി (CSA) വികസിപ്പിച്ച മൊബൈൽ ആപ്ലിക്കേഷനുകൾക്കുള്ള (ആപ്പുകൾ) ശുപാർശ ചെയ്യുന്ന ഒരു മാനദണ്ഡമാണ് സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡ്. കഴിഞ്ഞുview മൊബൈൽ ആപ്പ് ഡെവലപ്പർമാർക്കും ദാതാക്കൾക്കും പിന്തുടരാനുള്ള സുരക്ഷാ നിയന്ത്രണങ്ങളുടെ ശുപാർശിത അടിസ്ഥാനരേഖ മുന്നോട്ട് വെക്കുക എന്നതാണ് സ്റ്റാൻഡേർഡിൻ്റെ ലക്ഷ്യം. എല്ലാ പ്രാദേശിക ആപ്പുകളും മൊബൈൽ ആപ്പുകൾക്ക് സമാനമായ സുരക്ഷാ നിയന്ത്രണങ്ങൾ പാലിക്കുന്നുണ്ടെന്ന് ഇത് ഉറപ്പാക്കും, അതുവഴി സിംഗപ്പൂരിൽ ഹോസ്റ്റ് ചെയ്‌ത് സൃഷ്‌ടിച്ച ആപ്പുകളുടെ സുരക്ഷാ നിലവാരം ഉയർത്തും.
ഉദ്ദേശ്യം, വ്യാപ്തി, ഉദ്ദേശിച്ച പ്രേക്ഷകർ
ഡെവലപ്പർമാർക്ക് അവരുടെ ആപ്പുകളിൽ സുരക്ഷാ പ്രവർത്തനങ്ങൾ നടപ്പിലാക്കുന്നതിന് അവരെ സഹായിക്കുന്നതിന് ശുപാർശകളും നിർദ്ദേശങ്ങളും നൽകുന്നതിന് ഈ ഡോക്യുമെൻ്റ് വികസിപ്പിച്ചതാണ്. സൈബർ സുരക്ഷാ ഭീഷണികളുടെ വിശാലമായ സ്പെക്ട്രം ലഘൂകരിക്കുന്നതിനും ഏറ്റവും പുതിയ മൊബൈൽ അഴിമതികളിൽ നിന്നും മൊബൈൽ മാൽവെയർ ചൂഷണങ്ങളിൽ നിന്നും അവരുടെ ആപ്പുകളെ സംരക്ഷിക്കുന്നതിനും ഡവലപ്പർമാരെ സഹായിക്കുന്നതിന് വേണ്ടിയാണ് ഇത്തരം ശുപാർശകളും നിർദ്ദേശങ്ങളും ലക്ഷ്യമിടുന്നത്. ഇവിടെയുള്ള ഉള്ളടക്കങ്ങൾ നോൺ-ബൈൻഡിംഗ്, നോൺ-റിലയൻസ് അടിസ്ഥാനത്തിൽ നൽകിയിരിക്കുന്നതും പ്രകൃതിയിൽ വിവരദായകവുമായവയാണ്, മാത്രമല്ല സാധ്യമായ സൈബർ സുരക്ഷാ ഭീഷണികളെ സമഗ്രമായി തിരിച്ചറിയുന്നതിനോ ഡെവലപ്പർമാർ അവയെ അഭിസംബോധന ചെയ്യുന്നതിനോ തടയുന്നതിനോ സ്ഥാപിക്കേണ്ട പ്രക്രിയകളോ സംവിധാനങ്ങളോ സമഗ്രമായി വ്യക്തമാക്കാനോ ഉദ്ദേശിച്ചുള്ളതല്ല. ഭീഷണികൾ. സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ മാർഗ്ഗനിർദ്ദേശങ്ങളുടെയും സുരക്ഷാ നിയന്ത്രണങ്ങളുടെയും പതിപ്പ് 1, സിംഗപ്പൂരിൻ്റെ ഭീഷണി ലാൻഡ്‌സ്‌കേപ്പിൽ കാണപ്പെടുന്ന ഏറ്റവും പുതിയ മൊബൈൽ മാൽവെയറുകളെയും സ്‌കാം ചൂഷണങ്ങളെയും ചെറുക്കുന്നതിന് ഉയർന്ന അപകടസാധ്യതയുള്ള ആപ്പുകളുടെ ഡെവലപ്പർമാർക്ക് സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ നൽകുന്നതിൽ പ്രാഥമികമായി ശ്രദ്ധ കേന്ദ്രീകരിക്കും. എന്നിരുന്നാലും, ഈ സുരക്ഷാ നിയന്ത്രണങ്ങൾ മറ്റ് ആപ്പുകൾക്കും പ്രയോജനപ്പെടുത്തുകയും നടപ്പിലാക്കുകയും ചെയ്യാം. മെച്ചപ്പെടുത്തിയ മൊബൈൽ ആപ്പ് സുരക്ഷയ്ക്കായി എല്ലാ ഡെവലപ്പർമാരും ഈ നടപടികൾ നടപ്പിലാക്കാൻ ശ്രമിക്കണമെന്ന് ശുപാർശ ചെയ്യുന്നു. ഈ സ്റ്റാൻഡേർഡ് ഒരു പ്രാഥമിക ഫോക്കസ് ഏരിയയാണെങ്കിലും, മുഴുവൻ മൊബൈൽ ആപ്പ് സ്റ്റാക്കിനുമുള്ള സുരക്ഷാ മികച്ച രീതികളും മാർഗ്ഗനിർദ്ദേശങ്ങളും പരിഹരിക്കുന്നതിന് ഭാവിയിലെ ആവർത്തനങ്ങൾ വിപുലീകരിക്കും.
6

അറിയിപ്പും ഡെവലപ്പർ മാർഗ്ഗനിർദ്ദേശവും
ഇത് ഒരു ജീവനുള്ള രേഖയാണ്, അത് വീണ്ടും വിധേയമാക്കുംview ആനുകാലികമായി പുനരവലോകനം ചെയ്യുക. മറ്റ് പല സ്ഥാപിത മാനദണ്ഡങ്ങളെയും പോലെ, നിലവിലുള്ളതും വികസിച്ചുകൊണ്ടിരിക്കുന്നതുമായ ഭീഷണി ലാൻഡ്‌സ്‌കേപ്പും പുതിയ ആക്രമണ വെക്‌റ്ററുകളും പൊരുത്തപ്പെടുന്നതിന് പതിവായി അപ്‌ഡേറ്റ് ചെയ്യുന്ന ഒരു ജീവനുള്ള പ്രമാണമാണ് സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ്. ദയവായി CSA-കൾ റഫർ ചെയ്യുക webസേഫ് ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ ഏറ്റവും പുതിയ പതിപ്പ് ഉപയോഗിച്ച് അപ്‌ഡേറ്റ് ചെയ്യാനും അതിനനുസരിച്ച് സുരക്ഷാ നടപടികളും നിയന്ത്രണങ്ങളും ക്രമീകരിക്കാനും സൈറ്റ്. സൈബർ സുരക്ഷാ നിയമം 2018-ന് കീഴിലുള്ളവ ഉൾപ്പെടെ, ആപ്പ് ഡെവലപ്പർമാരുടെയും ദാതാക്കളുടെയും ഏതെങ്കിലും നിയമപരമോ നിയന്ത്രണമോ മറ്റ് ബാധ്യതകളും ചുമതലകളും മാറ്റിസ്ഥാപിക്കുകയോ മാറ്റുകയോ അസാധുവാക്കുകയോ ചെയ്യുന്നതല്ല ഈ സ്റ്റാൻഡേർഡ്, ഏതെങ്കിലും അനുബന്ധ നിയമനിർമ്മാണം, പ്രാക്ടീസ് കോഡുകൾ, പ്രകടനത്തിൻ്റെ മാനദണ്ഡങ്ങൾ അല്ലെങ്കിൽ അതിന് കീഴിൽ പുറപ്പെടുവിച്ച രേഖാമൂലമുള്ള നിർദ്ദേശങ്ങൾ. ഈ ഡോക്യുമെൻ്റിൻ്റെ ഉപയോഗവും ഇവിടെയുള്ള ശുപാർശകൾ നടപ്പിലാക്കുന്നതും ആപ്പ് ഡെവലപ്പറെയും ദാതാവിനെയും അത്തരം ബാധ്യതകളിൽ നിന്നോ ചുമതലകളിൽ നിന്നോ ഒഴിവാക്കുകയോ സ്വയമേവ ഡിസ്ചാർജ് ചെയ്യുകയോ ചെയ്യുന്നില്ല. ഈ പ്രമാണത്തിലെ ഉള്ളടക്കങ്ങൾ നിയമത്തിൻ്റെ ആധികാരിക പ്രസ്താവനയോ നിയമപരമോ മറ്റ് പ്രൊഫഷണൽ ഉപദേശമോ ആയ ഒരു ബദലായി ഉദ്ദേശിച്ചുള്ളതല്ല. സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ് സെക്യൂരിറ്റി ഫ്രെയിംവർക്കിനെക്കുറിച്ചുള്ള ഡെവലപ്പർ മാർഗ്ഗനിർദ്ദേശം ഉപയോഗത്തിൻ്റെ എളുപ്പത്തിനായി, സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ പതിപ്പ് 1 ഇനിപ്പറയുന്ന നിർണായക മേഖലകളെ ടാർഗെറ്റുചെയ്യുന്നുവെന്നത് ഡവലപ്പർമാർ ശ്രദ്ധിക്കേണ്ടതാണ്, കൂടാതെ ഡോക്യുമെൻ്റ് തന്നെ ഇനിപ്പറയുന്ന ഉപവിഭാഗങ്ങളായി വിഭജിക്കാം:
· ആധികാരികതamper & ആൻ്റി-റിവേഴ്‌സിംഗ് ഞങ്ങളുടെ പ്രാദേശിക ആവാസവ്യവസ്ഥയിൽ ക്ഷുദ്രകരമായ അഭിനേതാക്കൾ ഉപയോഗിക്കുന്ന ഏറ്റവും സാധാരണമായ ആക്രമണ വെക്‌ടറുകൾക്കെതിരെ മൊബൈൽ ആപ്പ് സുരക്ഷയുടെ സ്റ്റാൻഡേർഡൈസേഷൻ ഉറപ്പാക്കാൻ ഈ നിർണായക മേഖലകൾ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ നൽകുന്നതോ പ്രവർത്തനക്ഷമമാക്കുന്നതോ ആയ മൊബൈൽ ആപ്പുകളുടെ സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനുള്ള വ്യക്തവും സംക്ഷിപ്തവുമായ സുരക്ഷാ നിയന്ത്രണങ്ങൾ, മാർഗ്ഗനിർദ്ദേശങ്ങൾ, മികച്ച രീതികൾ എന്നിവ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡ് നൽകുന്നു.
7

ഡോക്യുമെൻ്റ് നിർവചനങ്ങളും സാധാരണ റഫറൻസുകളും
ഡോക്യുമെൻ്റ് നിർവചനങ്ങൾ ഡെവലപ്പർമാരും വായനക്കാരും ഈ ഡോക്യുമെൻ്റ് ഉപയോഗിക്കുമ്പോൾ മനസ്സിൽ സൂക്ഷിക്കേണ്ട ചില നിർവചനങ്ങൾ ഇവയാണ്: വ്യക്തിഗത തിരിച്ചറിയൽ വിവരങ്ങൾ (PII) പോലുള്ള സെൻസിറ്റീവ് ഡാറ്റ ഉപയോക്തൃ ഡാറ്റയും ക്രെഡൻഷ്യലുകൾ, എൻക്രിപ്ഷൻ കീകൾ, ഒറ്റത്തവണ പാസ്‌വേഡുകൾ, ബയോമെട്രിക് ഡാറ്റ തുടങ്ങിയ പ്രാമാണീകരണ ഡാറ്റയും , സുരക്ഷാ ടോക്കണുകൾ, സർട്ടിഫിക്കറ്റുകൾ മുതലായവ. ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ ഉൾപ്പെടുന്നവയാണ്:
· സാമ്പത്തിക പ്രവർത്തനങ്ങളിലെ മാറ്റങ്ങൾ ചില മുൻampമൂന്നാം കക്ഷി പണമടയ്ക്കുന്നയാളുടെ വിശദാംശങ്ങളുടെ രജിസ്ട്രേഷൻ, ഫണ്ട് ട്രാൻസ്ഫർ പരിധി വർദ്ധിപ്പിക്കൽ തുടങ്ങിയവ ഉൾപ്പെടുന്നു എന്നാൽ അതിൽ മാത്രം പരിമിതപ്പെടുന്നില്ല.
· സാമ്പത്തിക ഇടപാടുകളുടെ തുടക്കം ചില മുൻampഉയർന്ന മൂല്യമുള്ള ഫണ്ട് ഇടപാടുകൾ, ഉയർന്ന മൂല്യമുള്ള ഫണ്ട് കൈമാറ്റങ്ങൾ, ഓൺലൈൻ കാർഡ് ഇടപാടുകൾ, ഡയറക്ട് ഡെബിറ്റ് ആക്‌സസ്, മണി സ്റ്റോറേജ് ഫംഗ്‌ഷനുകൾ, ടോപ്പ്-അപ്പുകൾ തുടങ്ങിയവ ഉൾപ്പെടുന്നു എന്നാൽ അതിൽ മാത്രം പരിമിതപ്പെടുന്നില്ല.
· ആപ്ലിക്കേഷൻ്റെ സുരക്ഷാ കോൺഫിഗറേഷനുകളിലെ മാറ്റങ്ങൾ ചില മുൻampഇതിൽ ഉൾപ്പെടുന്നു എന്നാൽ പ്രാമാണീകരണ രീതികൾ പ്രവർത്തനരഹിതമാക്കുക, ഡിജിറ്റൽ ടോക്കണുകളോ ക്രെഡൻഷ്യലുകളോ അപ്ഡേറ്റ് ചെയ്യുക തുടങ്ങിയവയിൽ മാത്രം പരിമിതപ്പെടുത്തിയിട്ടില്ല.
സുരക്ഷാ നിയന്ത്രണങ്ങൾ ഈ ഡോക്യുമെൻ്റിൽ നിർദ്ദേശിച്ചിട്ടുള്ള പ്രവർത്തനപരമോ സാങ്കേതികമോ ആയ നടപടികൾ, സാധ്യമായ സുരക്ഷാ വീഴ്ചകളോ സംഭവങ്ങളോ നിയന്ത്രിക്കാനും നിരീക്ഷിക്കാനും ലഘൂകരിക്കാനും നടപ്പിലാക്കണം. ഈ സുരക്ഷാ നിയന്ത്രണങ്ങൾക്ക് ഇനിപ്പറയുന്ന ഐഡികൾ ഘടിപ്പിച്ചിരിക്കുന്നു, ഉദാ, AUTHN-BP01, AUTHOR-BP01, സ്റ്റോറേജ്-BP01, RESILIENCE-BP01. സാധാരണ റഫറൻസുകൾ സേഫ് ആപ്പ് സ്റ്റാൻഡേർഡ് ഓപ്പണിൽ നിന്നുള്ള വ്യവസായ മാനദണ്ഡങ്ങൾ റഫറൻസ് ചെയ്യുന്നു Web ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി പ്രോജക്റ്റ് (OWASP), യൂറോപ്യൻ യൂണിയൻ ഏജൻസി ഫോർ നെറ്റ്‌വർക്ക് ആൻഡ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി (ENISA), പേയ്‌മെൻ്റ് കാർഡ് ഇൻഡസ്ട്രി ഡാറ്റ സെക്യൂരിറ്റി സ്റ്റാൻഡേർഡ് (PCI DSS). റഫറൻസുകളുടെ പട്ടിക ഇപ്രകാരമാണ്:
· OWASP-യുടെ MASVS (മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ്) · OWASP-യുടെ MASTG (മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ്) · ENISA യുടെ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (SSDG) · ഡെവലപ്പർമാർക്കുള്ള PCI DSS-ൻ്റെ മൊബൈൽ പേയ്മെൻ്റ് സ്വീകാര്യത സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ
8

1. ആധികാരികത

ആമുഖം
ഒട്ടുമിക്ക മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെയും അവിഭാജ്യ ഘടകമാണ് പ്രാമാണീകരണം. ഈ ആപ്ലിക്കേഷനുകൾ സാധാരണയായി ബയോമെട്രിക്‌സ്, പിൻ അല്ലെങ്കിൽ മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ കോഡ് ജനറേറ്ററുകൾ എന്നിവയുൾപ്പെടെ വിവിധ തരം പ്രാമാണീകരണങ്ങൾ ഉപയോഗിക്കുന്നു. ഉപയോക്തൃ ഐഡൻ്റിറ്റി സാധൂകരിക്കുന്നതിന്, പ്രാമാണീകരണ സംവിധാനം സുരക്ഷിതമാണെന്നും വ്യവസായത്തിലെ മികച്ച രീതികൾ പിന്തുടർന്ന് നടപ്പിലാക്കിയിട്ടുണ്ടെന്നും ഉറപ്പാക്കുന്നത് നിർണായകമാണ്.
പ്രാമാണീകരണത്തിനായി ശക്തമായ സുരക്ഷാ നിയന്ത്രണങ്ങൾ നടപ്പിലാക്കുന്നതിലൂടെ, അംഗീകൃത ഉപയോക്താക്കൾ, ക്ലയൻ്റുകൾ, ആപ്ലിക്കേഷനുകൾ, ഉപകരണങ്ങൾ എന്നിവയ്ക്ക് മാത്രമേ നിർദ്ദിഷ്ട ഉറവിടങ്ങൾ ആക്‌സസ് ചെയ്യാനോ ചില പ്രവർത്തനങ്ങൾ ചെയ്യാനോ കഴിയൂ എന്ന് ഡവലപ്പർമാർക്ക് ഉറപ്പാക്കാൻ കഴിയും. സുരക്ഷിതമായ പ്രാമാണീകരണ നിയന്ത്രണങ്ങളിലൂടെ, ഡവലപ്പർമാർക്ക് അനധികൃത ഡാറ്റാ ആക്‌സസിൻ്റെ അപകടസാധ്യത ലഘൂകരിക്കാനും സെൻസിറ്റീവ് ഡാറ്റയുടെ സമഗ്രത നിലനിർത്താനും ഉപയോക്തൃ സ്വകാര്യത ഉയർത്തിപ്പിടിക്കാനും ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാട് പ്രവർത്തനങ്ങളുടെ സമഗ്രത സംരക്ഷിക്കാനും കഴിയും.
സെൻസിറ്റീവ് ഡാറ്റ പരിരക്ഷിക്കുന്നതിനും അനധികൃത ആക്‌സസ് തടയുന്നതിനും ആപ്ലിക്കേഷൻ നടപ്പിലാക്കേണ്ട പ്രാമാണീകരണ സുരക്ഷാ നിയന്ത്രണങ്ങൾ ശുപാർശ ചെയ്യുന്നതാണ് ഈ വിഭാഗത്തിലെ നിയന്ത്രണങ്ങൾ ലക്ഷ്യമിടുന്നത്. ഈ സുരക്ഷാ നിയന്ത്രണങ്ങൾ നടപ്പിലാക്കുന്നതിന് ഡവലപ്പർമാർക്ക് പ്രസക്തമായ മികച്ച സമ്പ്രദായങ്ങളും ഇത് നൽകുന്നു.
സുരക്ഷാ നിയന്ത്രണങ്ങൾ

നിയന്ത്രണം

AUTHN-BP01 AUTHN-BP01a AUTHN-BP01b AUTHN-BP01c AUTHN-BP02 AUTHN-BP03 AUTHN-BP03a AUTHN-BP03b AUTHN-BP04 AUTHN-BP05 AUTHN-BP06

ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ പ്രാമാണീകരിക്കുന്നതിന് മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ ഉപയോഗിക്കുക. MFA ഘടകങ്ങളിലൊന്നായി എന്തെങ്കിലും-നിങ്ങൾക്കറിയാവുന്ന പ്രാമാണീകരണം നടപ്പിലാക്കുക. MFA ഘടകങ്ങളിലൊന്നായി എന്തെങ്കിലും-നിങ്ങൾക്ക്-ആധികാരികത പ്രാമാണീകരിക്കുക. എംഎഫ്എ ഘടകങ്ങളിലൊന്നായി സംതിംഗ്-യു ആർ ഓതൻ്റിക്കേഷൻ നടപ്പിലാക്കുക. പ്രാമാണീകരിക്കുന്നതിന് സന്ദർഭ-അടിസ്ഥാന ഘടകങ്ങൾ ഉപയോഗിക്കുക. സുരക്ഷിതമായ സെഷൻ പ്രാമാണീകരണം നടപ്പിലാക്കുക. സുരക്ഷിതമായ സംസ്ഥാന പ്രാമാണീകരണം നടപ്പിലാക്കുക. സുരക്ഷിതമായ അവസ്ഥയില്ലാത്ത പ്രാമാണീകരണം നടപ്പിലാക്കുക. ലോഗ്ഔട്ട്, നിഷ്ക്രിയത്വം അല്ലെങ്കിൽ ആപ്ലിക്കേഷൻ ക്ലോഷർ സമയത്ത് സുരക്ഷിതമായ സെഷൻ അവസാനിപ്പിക്കൽ നടപ്പിലാക്കുക. പ്രാമാണീകരണത്തിനായി ബ്രൂട്ട് ഫോഴ്സ് സംരക്ഷണം നടപ്പിലാക്കുക. ട്രാൻസാക്ഷൻ ഇൻ്റഗ്രിറ്റി വെരിഫിക്കേഷൻ മെക്കാനിസം നടപ്പിലാക്കുക.

AUTHN-BP01
നിയന്ത്രണം
ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ ആധികാരികമാക്കാൻ ആപ്പ് മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ (എംഎഫ്എ) ഉപയോഗിക്കുന്നു.
വിവരണം
ഒരു പരമ്പരാഗത സിംഗിൾ-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ സിസ്റ്റത്തിൽ, ഉപയോക്താക്കൾക്ക് ഉപയോക്തൃനാമങ്ങളും പാസ്‌വേഡുകളും പോലെ എന്തെങ്കിലും-YouKnow1 മാത്രമേ നൽകാവൂ. എന്നിരുന്നാലും, ഈ ഒരൊറ്റ ഘടകം പരാജയപ്പെടുകയോ വിട്ടുവീഴ്ച ചെയ്യപ്പെടുകയോ ചെയ്‌താൽ, മുഴുവൻ പ്രാമാണീകരണ പ്രക്രിയയും ഭീഷണികൾക്ക് ഇരയാകും.
MFA എന്നത് ഐഡൻ്റിറ്റി വെരിഫിക്കേഷൻ്റെ പാളികൾ ചേർക്കുന്ന ഒരു പ്രാമാണീകരണ പ്രക്രിയയാണ്, ചിലത്-നിങ്ങൾക്ക്-അറിയുക മാത്രമല്ല, ചിലത്-നിങ്ങൾക്ക്-ഉണ്ട്2, ചിലത്-നിങ്ങൾ-ആരാണ്3 എന്നിവയും ആവശ്യമാണ്. MFA നടപ്പിലാക്കുന്നത് ക്ഷുദ്രകരമായ അഭിനേതാക്കൾക്ക് അക്കൗണ്ടുകളിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നതിനും പ്രാമാണീകരണ പ്രക്രിയയുടെ മൊത്തത്തിലുള്ള സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനും കൂടുതൽ വെല്ലുവിളി സൃഷ്ടിക്കുന്നു.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ സ്റ്റെപ്പ്-അപ്പ് എംഎഫ്എ ഉപയോഗിക്കണം. ഇത് ഒരു പ്രത്യേക തരം MFA ആണ്, അവിടെ ആപ്പ് ഒരു ആധികാരികത തന്ത്രം ഉൾക്കൊള്ളുന്നു, അതിന് ഒരു അധിക പ്രാമാണീകരണ നില ആവശ്യമാണ്, പ്രത്യേകിച്ചും ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ നടത്താൻ ശ്രമിക്കുമ്പോൾ.
ഡെവലപ്പർമാർ 1, 2, 3, 4 എന്നിവയുടെ ക്രമത്തിൽ ഇനിപ്പറയുന്ന MFA കോമ്പിനേഷനുകൾക്ക് മുൻഗണന നൽകണം, ഏറ്റവും സുരക്ഷിതമായ ചോയിസായി ഓപ്ഷൻ 1 വേണം.

ഘടകങ്ങൾ / ഓപ്ഷൻ ചിലത്-നിങ്ങൾക്കറിയാം-നിങ്ങൾക്കുള്ളത്
· സോഫ്റ്റ്‌വെയർ ടോക്കൺ · ഹാർഡ്‌വെയർ ടോക്കൺ · SMS OTP സംതിംഗ്-യു ആർ

1 ഉപയോക്താക്കൾക്ക് അറിയാവുന്ന PIN (വ്യക്തിഗത ഐഡൻ്റിഫിക്കേഷൻ നമ്പർ), പാസ്‌വേഡ് അല്ലെങ്കിൽ പാറ്റേൺ മുതലായവയെ സംതിംഗ്-നിങ്ങൾക്ക്-അറിയുന്ന വിവരങ്ങൾ സൂചിപ്പിക്കുന്നു. പ്രാമാണീകരണ ക്രെഡൻഷ്യലുകൾ സൃഷ്ടിക്കുന്നു, അതിൽ സമയം അടിസ്ഥാനമാക്കിയുള്ള ഒറ്റത്തവണ പാസ്‌വേഡുകൾ (OTP-കൾ) ഉൾപ്പെട്ടേക്കാം. ഉദാampഅത്തരം ടോക്കണുകളിൽ സോഫ്റ്റ്‌വെയർ ടോക്കണുകൾ, ഹാർഡ്‌വെയർ ടോക്കണുകൾ, എസ്എംഎസ് OTP എന്നിവ ഉൾപ്പെടുന്നു. 3 സംതിംഗ്-യു-ആർ എന്നത് ബയോമെട്രിക് ഐഡൻ്റിഫയറുകളെ സൂചിപ്പിക്കുന്നു, അവിടെ വിരലടയാളങ്ങൾ, റെറ്റിന സ്കാനുകൾ, മുഖം തിരിച്ചറിയൽ അല്ലെങ്കിൽ വോയ്‌സ് റെക്കഗ്നിഷൻ എന്നിങ്ങനെയുള്ള സ്ഥിരീകരണത്തിനായി ഉപയോക്താവിൻ്റെ തനതായ ശാരീരിക സവിശേഷതകൾ ഉപയോഗിക്കുന്നു.
11

ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾക്കുള്ള പ്രാമാണീകരണത്തിനുള്ള ഒരു ചാനലെന്ന നിലയിൽ SMS, ഇമെയിൽ OTP എന്നിവയെ ആശ്രയിക്കരുതെന്ന് ഡെവലപ്പർമാർക്ക് കർശനമായി നിർദ്ദേശിക്കുന്നു. സാധ്യമല്ലെങ്കിൽ, SMS OTP, ഇമെയിൽ OTP എന്നിവയ്‌ക്കൊപ്പം ഒരു ബയോമെട്രിക് ഘടകം അല്ലെങ്കിൽ ഒരു അധിക പ്രാമാണീകരണ ഘടകം നടപ്പിലാക്കുന്നത് നിർണായകമാണ്. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
· സാധ്യമാകുമ്പോൾ ഷെൽഫ് പരിഹാരങ്ങൾ തിരഞ്ഞെടുക്കാൻ ശക്തമായി ശുപാർശ ചെയ്യുന്നു. · എല്ലാവരുമായും ക്ലയൻ്റ് ഭാഗത്ത് കുറഞ്ഞത് ഒരു MFA ഘടകം പരിശോധിച്ചിട്ടുണ്ടെന്ന് ഡെവലപ്പർമാർ ഉറപ്പാക്കണം
മറ്റുള്ളവ സെർവർ സൈഡിൽ പരിശോധിച്ചു. ക്ലയൻ്റ് ഭാഗത്ത് ആധികാരികത പരിശോധിച്ചുറപ്പിച്ച സന്ദർഭങ്ങളിൽ, പ്രത്യേകിച്ച് Android-ന്, ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റ് (TEE) അടിസ്ഥാനമാക്കിയുള്ള കോഡ് നടപ്പിലാക്കുക. · ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
o OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 21.
o OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 51, 56. o MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 34, 50. o ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 11.
12

AUTHN-BP01a നിയന്ത്രണം MFA ഘടകങ്ങളിലൊന്നായി ആപ്പ് സംതിംഗ്-യു-നൗ ഓതൻ്റിക്കേഷൻ നടപ്പിലാക്കുന്നു. വിവരണം സംതിംഗ്-യു-നൗ-നൗ പ്രതിനിധീകരിക്കുന്നത്, ഒരു പിൻ (വ്യക്തിഗത ഐഡൻ്റിഫിക്കേഷൻ നമ്പർ), പാസ്‌വേഡ്, പാറ്റേൺ മുതലായവ പോലെ, ഉപയോക്താവിന് മാത്രം അറിയാവുന്ന വിവരങ്ങൾ ഉൾപ്പെടുന്ന ഐഡൻ്റിറ്റി സ്ഥിരീകരണത്തിൻ്റെ ഒരു അടിസ്ഥാന തലത്തെ പ്രതിനിധീകരിക്കുന്നു. എംഎഫ്എ ഘടകങ്ങളിലൊന്നായി ചിലത്-നിങ്ങൾക്കറിയുന്നത് നടപ്പിലാക്കുന്നത് ഉറപ്പാക്കുന്നു. ഉപയോക്താക്കൾ അവരുടെ അക്കൌണ്ടുകളുമായി ബന്ധപ്പെട്ട തനതായ വിവരങ്ങൾ നൽകാൻ ആവശ്യപ്പെടുന്നതിലൂടെ ഐഡൻ്റിറ്റി സ്ഥിരീകരണത്തിൻ്റെ അടിസ്ഥാന തലം. സമഗ്രവും ഫലപ്രദവുമായ മൾട്ടി-ലേയേർഡ് സുരക്ഷാ തന്ത്രത്തിന് സംഭാവന നൽകുന്ന "എന്തെങ്കിലും-നിങ്ങൾക്ക്-അറിയുക, എന്തെങ്കിലും-നിങ്ങൾക്ക്-ഉണ്ട്, ചിലത്-നിങ്ങൾ-ആരാണ്" എന്ന തത്വത്തിലെ നിർണായക ഘടകമാണിത്. നടപ്പിലാക്കുന്നതിനുള്ള മാർഗ്ഗനിർദ്ദേശം ശക്തവും സുരക്ഷിതവുമായ പാസ്‌വേഡുകൾ സൃഷ്ടിക്കുന്നതിന് ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന മാർഗ്ഗനിർദ്ദേശങ്ങൾ സ്വീകരിക്കണം:
12 പ്രതീകങ്ങളോ അതിൽ കൂടുതലോ ഉള്ള ഏറ്റവും കുറഞ്ഞ പാസ്‌വേഡ് ദൈർഘ്യം ഉറപ്പാക്കുക. · വലിയക്ഷരങ്ങളും ചെറിയക്ഷരങ്ങളും, അക്കങ്ങൾ, പരിമിതമായ പ്രത്യേക പ്രതീകങ്ങൾ എന്നിവയുടെ ഒരു മിശ്രിതം ഉൾപ്പെടുത്തുക
~`! @#$%^&*()_-+=:;,.? പാസ്‌വേഡ് സൃഷ്‌ടിക്കുന്നതിൽ പൊതുവായ പോരായ്മകൾ ഡെവലപ്പർമാർ തിരിച്ചറിയുകയും ഒഴിവാക്കുകയും വേണം:
· ഊഹിക്കാവുന്ന വാക്കുകളോ ശൈലികളോ കോമ്പിനേഷനുകളോ ഉപയോഗിക്കുന്നത് ഒഴിവാക്കുക. · വ്യക്തിഗത വിശദാംശങ്ങൾ ഉൾപ്പെടുത്തുന്നതിൽ നിന്ന് വിട്ടുനിൽക്കുക. · തുടർച്ചയായ പ്രതീകങ്ങൾ (ഉദാ, "123456") അല്ലെങ്കിൽ ആവർത്തിച്ചുള്ള പ്രതീകങ്ങൾ (ഉദാ, "aaaa") ഒഴിവാക്കുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ · ഡെവലപ്പർമാർ ക്രെഡൻഷ്യൽ റൊട്ടേഷൻ ഓർഗനൈസേഷണൽ ആസ്തികളിൽ മാത്രം നടപ്പിലാക്കണം അല്ലെങ്കിൽ ഇല്ലെങ്കിൽ
ഉപയോക്തൃ അവസാനത്തിൽ MFA നടപ്പിലാക്കൽ, ഉദാ വർഷം തോറും അല്ലെങ്കിൽ ഉചിതമായ സമയപരിധി പ്രകാരം മാറ്റി. · ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക
നൽകിയിരിക്കുന്നത്: o MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 34. o ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 10.
13

AUTHN-BP01b നിയന്ത്രണം MFA ഘടകങ്ങളിലൊന്നായി ആപ്പ് ചിലത്-നിങ്ങൾക്കുള്ള പ്രാമാണീകരണം നടപ്പിലാക്കുന്നു. വിവരണം ചിലത്-നിങ്ങൾക്ക്-ഉള്ളത്, സമയം അടിസ്ഥാനമാക്കിയുള്ള ഒറ്റത്തവണ പാസ്‌വേഡുകൾ (OTP-കൾ) ഉൾപ്പെട്ടേക്കാവുന്ന, പ്രാമാണീകരണ ക്രെഡൻഷ്യലുകൾ സൃഷ്ടിക്കുന്ന ഒരു ഫിസിക്കൽ ഉപകരണം, ആപ്പ് അല്ലെങ്കിൽ ടോക്കൺ ഉപയോഗിച്ച് ഉപയോക്താക്കൾ പ്രാമാണീകരിക്കേണ്ടതുണ്ട്. ഉദാampഅത്തരം ടോക്കണുകളിൽ സോഫ്റ്റ്‌വെയർ ടോക്കണുകൾ, ഹാർഡ്‌വെയർ ടോക്കണുകൾ, എസ്എംഎസ് OTP എന്നിവ ഉൾപ്പെടുന്നു. MFA ഘടകങ്ങളിലൊന്നായി എന്തെങ്കിലും-നിങ്ങൾക്ക്-ഉണ്ടെന്നത് നടപ്പിലാക്കുന്നത്, ഒരു മൂർത്തമായ ഘടകത്തിൻ്റെ കൈവശം ആവശ്യപ്പെടുന്നതിലൂടെ പ്രാമാണീകരണ പ്രക്രിയയ്ക്ക് സങ്കീർണ്ണത കൂട്ടുന്നു, ഇത് അനധികൃത ആക്‌സസ്സിൻ്റെ സാധ്യത ഗണ്യമായി കുറയ്ക്കുന്നു. സമഗ്രവും ഫലപ്രദവുമായ മൾട്ടി-ലേയേർഡ് സുരക്ഷാ തന്ത്രത്തിന് സംഭാവന നൽകുന്ന “എന്തോ-നിങ്ങൾക്ക്-അറിയുക, ചിലത്-നിങ്ങൾക്കുള്ളത്, ചിലത്-നിങ്ങൾ-ആരാണ്” എന്ന തത്വത്തിലെ നിർണായക ഘടകമാണിത്. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർ സോഫ്‌റ്റ്‌വെയർ ടോക്കണുകൾ, ഹാർഡ്‌വെയർ ടോക്കണുകൾ, SMS OTP എന്നിവയ്‌ക്കായി സമയാധിഷ്‌ഠിത OTP ഉപയോഗിക്കണം. ഇനിപ്പറയുന്ന മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കണം:
· ഒരു OTP സാധുതയുള്ളത് 30 സെക്കൻഡിൽ കൂടരുത്. · 3 ശ്രമങ്ങൾക്ക് ശേഷം തെറ്റായി ഇൻപുട്ട് ചെയ്യുന്ന ഒരു OTP അസാധുവാക്കിയിരിക്കണം, കൂടാതെ ഉപയോക്താവിൻ്റെ സെഷനും
റദ്ദാക്കുകയോ നിരസിക്കുകയോ ചെയ്യണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
· ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക: o OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 56-57. O MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 50, 51. o ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 10.
14

AUTHN-BP01c
നിയന്ത്രണം MFA ഘടകങ്ങളിലൊന്നായി ആപ്പ് സംതിംഗ്-യു-ആർ ഓതൻ്റിക്കേഷൻ നടപ്പിലാക്കുന്നു.
വിവരണം സംതിംഗ്-യു-ആറിന്, വിരലടയാളങ്ങൾ, റെറ്റിന സ്കാനുകൾ അല്ലെങ്കിൽ മുഖം തിരിച്ചറിയൽ പോലുള്ള ബയോമെട്രിക് ഐഡൻ്റിഫയറുകൾ ഉപയോഗിച്ച് ഉപയോക്താക്കൾ പ്രാമാണീകരിക്കേണ്ടതുണ്ട്. എംഎഫ്എ ഘടകങ്ങളിലൊന്നായി സംതിംഗ്-യു-ആർ നടപ്പിലാക്കുന്നത് വളരെ വ്യക്തിഗതമാക്കിയതും പകർത്താൻ ബുദ്ധിമുട്ടുള്ളതുമായ പ്രാമാണീകരണ ഘടകം ചേർക്കുന്നു. അംഗീകൃതമല്ലാത്ത ആക്‌സസിൻ്റെ അപകടസാധ്യത കുറയ്ക്കുന്ന, ചിലത്-നിങ്ങൾക്ക്-അറിയുന്ന, ചിലത്-നിങ്ങൾക്ക്-ഉള്ള ഘടകങ്ങളേക്കാൾ ഉപയോക്തൃ ഐഡൻ്റിറ്റി പരിശോധിക്കുന്നതിനുള്ള കൂടുതൽ ശക്തമായ മാർഗം ഇത് നൽകുന്നു. സമഗ്രവും ഫലപ്രദവുമായ മൾട്ടി-ലേയേർഡ് സുരക്ഷാ തന്ത്രത്തിന് സംഭാവന നൽകുന്ന “എന്തെങ്കിലും-നിങ്ങൾക്ക്-അറിയുക, എന്തെങ്കിലും-നിങ്ങൾക്ക്-ഉണ്ട്, ചിലത്-നിങ്ങൾ ഉണ്ട്” എന്ന തത്വത്തിലെ നിർണായക ഘടകമാണിത്. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡവലപ്പർമാർ Singpass പോലുള്ള ഒരു വിശ്വസനീയമായ ബയോമെട്രിക് ഐഡൻ്റിഫിക്കേഷൻ പ്ലാറ്റ്ഫോം ഉപയോഗിച്ച് സെർവർ-സൈഡ് ബയോമെട്രിക് പ്രാമാണീകരണം നടപ്പിലാക്കണം. എന്നിരുന്നാലും, ഇത് സാധ്യമല്ലെങ്കിൽ, Android-നായുള്ള CryptoObject, Android Protected Confirmation അല്ലെങ്കിൽ iOS-നുള്ള കീചെയിൻ സേവനങ്ങൾ എന്നിവ പോലുള്ള ഉപകരണത്തിൻ്റെ ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റ് (TEEs) മെക്കാനിസങ്ങളിലൂടെ ഡെവലപ്പർമാർ ക്ലയൻ്റ് സൈഡ് ബയോമെട്രിക് പ്രാമാണീകരണം നടപ്പിലാക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
· ഹാർഡ്‌വെയർ ട്രസ്റ്റഡ് എക്‌സിക്യുട്ടഡ് എൻവയോൺമെൻ്റ് (TEE) അല്ലെങ്കിൽ ബയോമെട്രിക്‌സ് ഇല്ലാത്ത ഉപകരണങ്ങളിൽ ഡെവലപ്പർമാർ ആപ്പുകളുടെ പ്രവർത്തനക്ഷമത പരിമിതപ്പെടുത്തണം. ഉദാampലെ, "isInsideSecureHardware" Android API ഉപയോഗിച്ച് TEE ഇല്ലാത്ത Android ഉപകരണങ്ങൾ കണ്ടെത്താനാകും.
· ഉപകരണത്തിൽ ഒരു പുതിയ വിരലടയാളം എൻറോൾ ചെയ്യുന്നത് പോലെ ബയോമെട്രിക് മെക്കാനിസത്തിൽ മാറ്റങ്ങൾ സംഭവിക്കുകയാണെങ്കിൽ, ഡവലപ്പർമാർ ബയോമെട്രിക് പ്രാമാണീകരണം അസാധുവാക്കണം. അത്തരം മാറ്റങ്ങളുടെ പ്രതികരണമായി കാലഹരണപ്പെടുന്നതിന് ഒരു ആപ്പ് ക്രിപ്‌റ്റോ കീ സജ്ജീകരിക്കുന്നതിനെ iOS, Android പ്ലാറ്റ്‌ഫോമുകൾ പിന്തുണയ്ക്കുന്നു.
· ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക: o OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 227233, 422-426. O MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 51. o ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 11, 26.
15

AUTHN-BP02
നിയന്ത്രണം പ്രാമാണീകരിക്കുന്നതിന് ആപ്പ് സന്ദർഭ-അടിസ്ഥാന ഘടകങ്ങൾ ഉപയോഗിക്കുന്നു. വിവരണം സന്ദർഭ-അടിസ്ഥാന ഘടകങ്ങൾ ഉപയോക്തൃ സ്ഥാനവും ഉപകരണ ആട്രിബ്യൂട്ടുകളും പോലുള്ള ചലനാത്മക ഘടകങ്ങൾ അവതരിപ്പിക്കുന്നു. MFA ഒന്നിലധികം ആധികാരികത ഘടകങ്ങൾ ആവശ്യമായി ഒരു ശക്തമായ സുരക്ഷാ പാളി നൽകുമ്പോൾ, സന്ദർഭാധിഷ്‌ഠിത ഘടകങ്ങൾ ഉൾപ്പെടുത്തുന്നത് കൂടുതൽ സമഗ്രവും അഡാപ്റ്റീവ് പ്രാമാണീകരണ പ്രക്രിയ സൃഷ്‌ടിക്കുന്നു, അത് അനധികൃത ആക്‌സസിൻ്റെ വികസിച്ചുകൊണ്ടിരിക്കുന്ന അപകടസാധ്യതകളെ അഭിസംബോധന ചെയ്യുന്നതിൽ അധിക നേട്ടങ്ങൾ വാഗ്ദാനം ചെയ്യുന്നു. സന്ദർഭാധിഷ്ഠിത ഘടകങ്ങൾ നടപ്പിലാക്കുന്നത് സ്റ്റാറ്റിക് ക്രെഡൻഷ്യലുകളെ ആശ്രയിക്കുന്നത് കുറയ്ക്കുന്നു, ഇത് ക്ഷുദ്ര അഭിനേതാക്കൾക്ക് അനധികൃത ആക്‌സസ്സ് ശ്രമിക്കുന്നത് കൂടുതൽ വെല്ലുവിളിയാക്കുന്നു. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഒരു ഉപയോക്താവിൻ്റെ ഐഡൻ്റിറ്റി പരിശോധിക്കുന്നതിന് ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന സന്ദർഭോചിത ഘടകങ്ങൾ പരിഗണിക്കണം:
· ജിയോലൊക്കേഷൻ: GPS, Wi-Fi അല്ലെങ്കിൽ IP വിലാസ ജിയോലൊക്കേഷൻ ഉപയോഗിച്ച് ഒരു ഉപകരണത്തിൻ്റെ യഥാർത്ഥ ലോക ലൊക്കേഷൻ അടിസ്ഥാനമാക്കി ആക്സസ് അനുവദിക്കുക.
· ഉപകരണ തരം: ഒരു ഉപകരണത്തിൻ്റെ സവിശേഷതകളെ അടിസ്ഥാനമാക്കി ആക്സസ് അനുവദിക്കുക. ഉദാ: സ്‌ക്രീൻ വലുപ്പം ഒരു ഉപകരണം സ്‌മാർട്ട്‌ഫോണാണോ ടാബ്‌ലെറ്റാണോ എന്ന് നിർണ്ണയിക്കാനാകും.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 56, 58. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 11.
16

AUTHN-BP03
നിയന്ത്രണം ആപ്പ് സുരക്ഷിതമായ സെഷൻ പ്രാമാണീകരണം നടപ്പിലാക്കുന്നു. വിവരണം സുരക്ഷിതമായ സെഷൻ പ്രാമാണീകരണം, സ്‌റ്റേറ്റ്‌ഫുൾ, സ്‌റ്റേറ്റ്‌ലെസ് ആധികാരികതയ്‌ക്കായി ശക്തമായ സെഷൻ മാനേജ്‌മെൻ്റ് ഉറപ്പാക്കുന്നു. ആപ്പ് സ്‌റ്റേറ്റ്‌ഫുൾ4 അല്ലെങ്കിൽ സ്‌റ്റേറ്റ്‌ലെസ് 5 പ്രാമാണീകരണ രീതികൾ പിന്തുടരുന്നുണ്ടോ എന്നത് പരിഗണിക്കാതെ തന്നെ മോശമായി കൈകാര്യം ചെയ്യപ്പെടുന്ന സെഷനുകൾ, അനധികൃത ആക്‌സസ്, സെഷൻ ഹൈജാക്കിംഗ് അല്ലെങ്കിൽ ഡാറ്റാ ലംഘനങ്ങൾ പോലുള്ള സുരക്ഷാ ഭീഷണികളിലേക്ക് നയിച്ചേക്കാം. സ്റ്റേറ്റ്ഫുൾ സെഷനുകൾക്കായി സുരക്ഷിത സെഷൻ പ്രാമാണീകരണം നടപ്പിലാക്കുന്നത് സുരക്ഷിതമായ സെഷൻ ഐഡൻ്റിഫയറുകൾ, എൻക്രിപ്റ്റ് ചെയ്ത ആശയവിനിമയം, അനധികൃത ആക്സസ് തടയുന്നതിന് ശരിയായ സമയപരിധി എന്നിവ ഉപയോഗിക്കുന്നു. നിലയില്ലാത്ത പ്രാമാണീകരണത്തിന്, ടോക്കണുകൾ ടി ആണെന്ന് ഇത് ഉറപ്പാക്കുന്നുampഎർ-റെസിസ്റ്റൻ്റ്, സെർവർ സൈഡ് സ്റ്റോറേജിനെ ആശ്രയിക്കാതെ ആധികാരികതയുടെ സമഗ്രത നിലനിർത്തുന്നു. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർ സെഷനുകൾക്കായി സ്റ്റേറ്റ്ഫുൾ (AUTHN-BP03a), സ്റ്റേറ്റ്ലെസ് (AUTHN-BP03b) പ്രാമാണീകരണ രീതികൾക്കായി ഇനിപ്പറയുന്ന മികച്ച രീതികൾ സ്വീകരിച്ചുകൊണ്ട് സുരക്ഷിതമായ സെഷൻ പ്രാമാണീകരണം നടപ്പിലാക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 51-55. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 51. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 10.
4 സ്റ്റേറ്റ്ഫുൾ ആധികാരികത എന്നത് സെർവർ വശത്തുള്ള സെഷൻ സ്റ്റേറ്റുകളുടെ മാനേജ്മെൻ്റിനെ സൂചിപ്പിക്കുന്നു, സാധാരണയായി സെഷൻ ഐഡൻ്റിഫയറുകൾ ആവശ്യമാണ്. 5 ഉപയോക്തൃ സംബന്ധിയായ വിവരങ്ങൾ സെർവർ വശത്ത് സൂക്ഷിക്കാതെ സെഷനുകളുടെ മാനേജ്മെൻ്റിനെയാണ് സ്റ്റേറ്റ്ലെസ് ആധികാരികത സൂചിപ്പിക്കുന്നത്.
17

AUTHN-BP03a നിയന്ത്രണം ആപ്പ് സുരക്ഷിതമായ സംസ്ഥാന പ്രാമാണീകരണം നടപ്പിലാക്കുന്നു. വിവരണം സുസ്ഥിരമായ സെഷനുകൾ സംരക്ഷിക്കുന്നതും പരിപാലിക്കുന്നതും സുരക്ഷിതമായ സ്റ്റേറ്റ്ഫുൾ ആധികാരികതയിൽ ഉൾപ്പെടുന്നു. സ്ഥിരമായ ഉപയോക്തൃ സെഷനുകളിലൂടെ സ്‌റ്റേറ്റ്‌ഫുൾ ആധികാരികത തടസ്സമില്ലാത്ത ഉപയോക്തൃ അനുഭവം നൽകുമ്പോൾ, ക്ഷുദ്ര അഭിനേതാക്കൾ സെഷൻ ഐഡൻ്റിഫയറുകൾ മോഷ്ടിക്കാൻ ശ്രമിക്കുന്നത് പോലുള്ള വിവിധ സുരക്ഷാ ഭീഷണികൾക്ക് ഇത് ഇരയാകാം. സുരക്ഷിതമായ സ്റ്റേറ്റ്ഫുൾ ആധികാരികത നടപ്പിലാക്കുന്നത്, ഉപയോഗക്ഷമതയും സുരക്ഷയും തമ്മിലുള്ള സന്തുലിതാവസ്ഥയിൽ വിട്ടുവീഴ്ച ചെയ്യാതെ, സെഷൻ മാനേജ്മെൻ്റുമായി ബന്ധപ്പെട്ട അനധികൃത ആക്സസ്, സാധ്യതയുള്ള കേടുപാടുകൾ എന്നിവയിൽ നിന്ന് ഉപയോക്തൃ അക്കൗണ്ടുകളെ സംരക്ഷിക്കുന്നു. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർ സെൻസിറ്റീവ് വിവരങ്ങളോ നിർണായകമായ പ്രവർത്തനങ്ങളോ തുറന്നുകാട്ടുന്ന സെർവർ-സൈഡ് എൻഡ്‌പോയിൻ്റുകൾ തിരിച്ചറിയണം. ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന സ്റ്റേറ്റ്ഫുൾ സെഷൻ പ്രാമാണീകരണ മികച്ച രീതികളും സ്വീകരിക്കണം:
· നഷ്‌ടമായതോ അസാധുവായതോ ആയ സെഷൻ ഐഡികളോ ടോക്കണുകളോ ഉള്ള അഭ്യർത്ഥനകൾ നിരസിക്കുക. സെഷൻ ഐഡികൾ കൂട്ടിച്ചേർക്കാതെ സെർവർ ഭാഗത്ത് ക്രമരഹിതമായി സൃഷ്ടിക്കുക URLഎസ്. · സെഷൻ ഐഡികളുടെ സുരക്ഷ, ശരിയായ നീളവും എൻട്രോപ്പിയും ഉപയോഗിച്ച് ഊഹിക്കാൻ പ്രയാസമുള്ളതാക്കുക. · സുരക്ഷിതമായ HTTPS കണക്ഷനുകളിലൂടെ മാത്രം സെഷൻ ഐഡികൾ കൈമാറ്റം ചെയ്യുക. · സെഷൻ ഐഡികൾ പെർസിസ്റ്റൻ്റ് സ്റ്റോറേജിൽ സൂക്ഷിക്കുന്നത് ഒഴിവാക്കുക. · പ്രത്യേക ആപ്പ് ഘടകങ്ങളിലേക്കുള്ള ഉപയോക്തൃ ആക്‌സസിനായി സെഷൻസ് ഐഡികൾ പരിശോധിക്കുക. · സെർവർ വശത്തെ സെഷനുകൾ അവസാനിപ്പിക്കുക, കാലഹരണപ്പെടുമ്പോഴോ ലോഗ്ഔട്ട് ചെയ്യുമ്പോഴോ സെഷൻ വിവരങ്ങൾ ഇല്ലാതാക്കുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ സംശയമുണ്ടെങ്കിൽ, വിശ്വസനീയമായ പ്രാമാണീകരണ പ്ലാറ്റ്‌ഫോമുകളും പ്രോട്ടോക്കോളുകളും ഉപയോഗിക്കുന്നത് പരിഗണിക്കുക. ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക: · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 52.
18

AUTHN-BP03b നിയന്ത്രണം ആപ്പ് സുരക്ഷിതമായ നിലയില്ലാത്ത പ്രാമാണീകരണം നടപ്പിലാക്കുന്നു. വിവരണം സുരക്ഷിത സ്‌റ്റേറ്റ്‌ലെസ് ആധികാരികതയിൽ ഫലപ്രദവും അളക്കാവുന്നതുമായ പ്രാമാണീകരണത്തിനുള്ള സുരക്ഷിത ടോക്കൺ സമ്പ്രദായങ്ങൾ ഉൾപ്പെടുന്നു. സ്‌റ്റേറ്റ്‌ലെസ് ആധികാരികത ആനുകൂല്യങ്ങൾ നൽകുമ്പോൾ, ടോക്കണുകൾ സുരക്ഷിതമായി ജനറേറ്റുചെയ്യുകയോ കൈമാറുകയോ സംഭരിക്കുകയോ ചെയ്യുന്നില്ലെങ്കിൽ, ഉപയോക്തൃ ആൾമാറാട്ടം പോലുള്ള സുരക്ഷാ ഭീഷണികൾക്ക് അത് കൂടുതൽ ഇരയാകാം. സുരക്ഷിതമായ സ്‌റ്റേറ്റ്‌ലെസ് ആധികാരികത നടപ്പിലാക്കുന്നത്, കാര്യക്ഷമതയുടെയും സ്കേലബിളിറ്റിയുടെയും നേട്ടങ്ങൾ കൊയ്യുന്നതിനിടയിൽ ഓരോ പ്രാമാണീകരണ ടോക്കണും സുരക്ഷിതമായി കൈകാര്യം ചെയ്യപ്പെടുന്നുവെന്ന് ഉറപ്പാക്കുന്നു, അനധികൃത ആക്‌സസ്സിൻ്റെ അപകടസാധ്യത കുറയ്ക്കുന്നു. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന സ്റ്റേറ്റ്ലെസ് സെഷൻ പ്രാമാണീകരണ മികച്ച രീതികൾ സ്വീകരിക്കണം:
· ടോക്കണുകൾ കൂട്ടിച്ചേർക്കാതെ സെർവർ വശത്ത് സൃഷ്ടിക്കുക URLഎസ്. · ശരിയായ നീളവും എൻട്രോപ്പിയും ഉപയോഗിച്ച് ടോക്കണുകളുടെ സുരക്ഷ വർധിപ്പിക്കുക, ഊഹിക്കുന്നത് പ്രയാസകരമാക്കുന്നു. സുരക്ഷിതമായ HTTPS കണക്ഷനുകളിലൂടെ മാത്രം ടോക്കണുകൾ കൈമാറ്റം ചെയ്യുക. · PII പോലുള്ള സെൻസിറ്റീവ് ഡാറ്റയൊന്നും ടോക്കണുകളിൽ ഉൾച്ചേർത്തിട്ടില്ലെന്ന് പരിശോധിക്കുക. · സ്ഥിരമായ സംഭരണത്തിൽ ടോക്കണുകൾ സൂക്ഷിക്കുന്നത് ഒഴിവാക്കുക. · പ്രത്യേക ആപ്പ് ഘടകങ്ങളിലേക്ക് ഉപയോക്തൃ ആക്സസിനായി ടോക്കണുകൾ പരിശോധിക്കുക. · സെർവർ വശത്തുള്ള ടോക്കണുകൾ അവസാനിപ്പിക്കുക, ടൈംഔട്ട് അല്ലെങ്കിൽ ലോഗ്ഔട്ട് ചെയ്യുമ്പോൾ ടോക്കണുകളുടെ വിവരങ്ങൾ ഇല്ലാതാക്കുക. · ശൂന്യമായ അൽഗരിതങ്ങളുടെ ഉപയോഗം ഒഴിവാക്കിക്കൊണ്ട്, സുരക്ഷിതമായ അൽഗോരിതം ഉപയോഗിച്ച് ക്രിപ്റ്റോഗ്രാഫിക്കായി ടോക്കണുകൾ ഒപ്പിടുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ · സംശയമുണ്ടെങ്കിൽ, വിശ്വസനീയമായ പ്രാമാണീകരണ പ്ലാറ്റ്‌ഫോമുകളും പ്രോട്ടോക്കോളുകളും ഉപയോഗിക്കുന്നത് പരിഗണിക്കുക. · ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക
നൽകിയിരിക്കുന്നത്: o OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 52-53.
19

AUTHN-BP04
നിയന്ത്രണം ലോഗൗട്ട്, നിഷ്‌ക്രിയത്വം അല്ലെങ്കിൽ ആപ്പ് ക്ലോഷർ സമയത്ത് ആപ്പ് സുരക്ഷിതമായ സെഷൻ അവസാനിപ്പിക്കൽ നടപ്പിലാക്കുന്നു. വിവരണം സുരക്ഷിത സെഷൻ അവസാനിപ്പിക്കുന്നത് ഉപയോക്തൃ സെഷനുകളുടെ ഫലപ്രദമായ ക്ലോഷർ ഉറപ്പാക്കുന്നു. ലോഗ്ഔട്ട്, നിഷ്‌ക്രിയത്വം അല്ലെങ്കിൽ ആപ്പ് അടച്ചുപൂട്ടൽ സാഹചര്യങ്ങൾ പോലുള്ള സന്ദർഭങ്ങളിൽ, സെഷനുകൾ ഉചിതമായി കൈകാര്യം ചെയ്യുന്നില്ലെങ്കിൽ, ക്ഷുദ്രകരമായ അഭിനേതാക്കൾക്ക് ഏതെങ്കിലും നീണ്ടുനിൽക്കുന്ന ആക്‌സസ് പോയിൻ്റുകൾ ചൂഷണം ചെയ്യാനുള്ള സാധ്യതയുണ്ട്. ലോഗ്ഔട്ട്, നിഷ്‌ക്രിയത്വം അല്ലെങ്കിൽ ആപ്പ് ക്ലോഷർ സമയത്ത് സുരക്ഷിതമായ സെഷൻ അവസാനിപ്പിക്കൽ നടപ്പിലാക്കുന്നത് ഉപയോക്തൃ സെഷനുകൾ സ്വയമേവ അവസാനിപ്പിക്കുന്നതിലൂടെയും അനധികൃത കക്ഷികൾ ആക്‌സസ് ചെയ്യുന്നതിൽ നിന്നും ഉപയോക്തൃ വിവരങ്ങൾ സംരക്ഷിക്കുന്നതിലൂടെയും അനധികൃത ആക്‌സസ് സാധ്യത ഗണ്യമായി കുറയ്ക്കും. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ലോഗ് ഔട്ട്, ആപ്പ് നിഷ്‌ക്രിയത്വം, നിഷ്‌ക്രിയത്വം, പശ്ചാത്തലം, കേവല സെഷൻ ടൈംഔട്ടുകൾ, അല്ലെങ്കിൽ പെട്ടെന്ന്/നിർബന്ധിതമായി അടയ്ക്കൽ എന്നിവയ്ക്ക് ശേഷം ഡെവലപ്പർമാർ ഉപയോക്താക്കളെ വീണ്ടും പ്രാമാണീകരിക്കണം. സെഷൻ ഫിക്സേഷൻ തടയുന്നതിന് ഉപയോക്താക്കൾ ഒരു പുതിയ പ്രാമാണീകരണ തലത്തിലേക്ക് നീങ്ങുമ്പോഴെല്ലാം ഡെവലപ്പർമാർ സെർവറിൽ പുതിയ സെഷൻ ഐഡൻ്റിഫയറുകളും സൃഷ്ടിക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
· സെഷൻ അവസാനിപ്പിക്കുന്നതിൽ പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന എല്ലാ ടോക്കണുകളും അല്ലെങ്കിൽ സെഷൻ ഐഡൻ്റിഫയറുകളും മായ്‌ക്കുകയോ അംഗീകാരം നൽകാതിരിക്കുകയോ ചെയ്യുന്നുണ്ടെന്ന് ഡെവലപ്പർമാർ ഉറപ്പാക്കണം.
· സാമ്പത്തിക സേവനങ്ങളുടെ അപകടസാധ്യതയെയും സ്വഭാവത്തെയും അടിസ്ഥാനമാക്കി ഡെവലപ്പർമാർ നിഷ്‌ക്രിയ സമയപരിധി മൂല്യം നിർണ്ണയിക്കണം.
· ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക: o OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 55-56, 58. o MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 51. o ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 11.
20

AUTHN-BP05
നിയന്ത്രണം പ്രാമാണീകരണത്തിനായി ആപ്പ് ബ്രൂട്ട് ഫോഴ്സ് സംരക്ഷണം നടപ്പിലാക്കുന്നു. വിവരണം ബ്രൂട്ട് ഫോഴ്‌സ് ആക്രമണങ്ങളിൽ ഉപയോക്തൃ ക്രെഡൻഷ്യലുകൾ ഊഹിക്കാനുള്ള സ്വയമേവയുള്ളതും ചിട്ടയായതുമായ ശ്രമങ്ങൾ ഉൾപ്പെടുന്നു.ample, അംഗീകൃതമല്ലാത്ത ആക്സസ് നേടുന്നതിന് ഉപയോക്തൃനാമങ്ങളുടെയും പാസ്വേഡുകളുടെയും വിവിധ കോമ്പിനേഷനുകൾ പരീക്ഷിച്ചുകൊണ്ട്. ഒരു നിശ്ചിത കാലയളവിനുള്ളിൽ ലോഗിൻ ശ്രമങ്ങളുടെ എണ്ണം ബ്രൂട്ട് ഫോഴ്‌സ് പരിരക്ഷണം നിയന്ത്രിക്കുന്നു. പ്രാമാണീകരണത്തിനായി ബ്രൂട്ട് ഫോഴ്‌സ് സംരക്ഷണം നടപ്പിലാക്കുന്നത് അനധികൃത ആക്‌സസ്സിൻ്റെ അപകടസാധ്യത ഗണ്യമായി ലഘൂകരിക്കാനും ഉപയോക്തൃ അക്കൗണ്ടുകൾ പരിരക്ഷിക്കാനും പ്രാമാണീകരണ പ്രക്രിയയുടെ സമഗ്രത നിലനിർത്താനും കഴിയും. നടപ്പിലാക്കുന്നതിനുള്ള മാർഗ്ഗനിർദ്ദേശം ഡവലപ്പർമാർ ഇനിപ്പറയുന്ന മികച്ച രീതികളിലൂടെ ബ്രൂട്ട് ഫോഴ്‌സ് മെക്കാനിസങ്ങൾ നടപ്പിലാക്കണം:
· ആൻ്റി-ഓട്ടോമേഷൻ പരിശോധനകൾ നടപ്പിലാക്കുക. ലോഗിൻ ശ്രമങ്ങൾക്ക് നിരക്ക് പരിമിതപ്പെടുത്തൽ പ്രയോഗിക്കുക. · പുരോഗമന ഇൻക്രിമെൻ്റൽ സമയ കാലതാമസം ഉൾപ്പെടുത്തുക (ഉദാ: 30 സെക്കൻഡ്, 1 മിനിറ്റ്, 2 മിനിറ്റ്, 5
മിനിറ്റ്) ലോഗിൻ ശ്രമങ്ങൾക്കായി. · അക്കൗണ്ട് ലോക്കൗട്ടുകൾ നടപ്പിലാക്കുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ · എല്ലാ MFA മെക്കാനിസങ്ങളും ക്രൂരമായ ബലപ്രയോഗത്തിന് ഇരയാകുമെന്ന് ഡെവലപ്പർമാർ ശ്രദ്ധിക്കേണ്ടതാണ്. · ഡെവലപ്പർമാർ അക്കൗണ്ട് ലോക്കൗട്ടിൻ്റെ കാരണങ്ങൾ അറിയിക്കുകയും ആക്സസ് ചെയ്യാവുന്ന മാർഗങ്ങൾ നൽകുകയും വേണം
ഉപയോക്താക്കൾക്ക് സ്വയം പ്രാമാണീകരിക്കാനും ലോക്കൗട്ട് നീക്കം ചെയ്യാനും. ഉദാampഒരു ഹെൽപ്പ്‌ലൈനിൽ വിളിക്കുന്നതോ ബയോമെട്രിക് പരിശോധന ഉപയോഗിക്കുന്നതോ ഉൾപ്പെടുന്നു. · ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
o ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 10, 16.
21

AUTHN-BP06
നിയന്ത്രണം ആപ്പ് ട്രാൻസാക്ഷൻ ഇൻ്റഗ്രിറ്റി വെരിഫിക്കേഷൻ സംവിധാനം നടപ്പിലാക്കുന്നു. വിവരണം ആധികാരികത ഉപയോക്താവിൻ്റെ ഐഡൻ്റിറ്റി ഉറപ്പാക്കുമ്പോൾ, ഇടപാട് പ്രക്രിയയിൽ വഞ്ചനാപരമായ പ്രവർത്തനങ്ങളുടെ സാധ്യത ഇല്ലാതാക്കുന്നില്ല. ഇടപാട് സമഗ്രത സ്ഥിരീകരണ സംവിധാനങ്ങൾ ഉപയോക്താക്കൾക്ക് സാധ്യതയുള്ള തട്ടിപ്പുകളോട് പ്രതികരിക്കാൻ സമയവും ഉപകരണങ്ങളും നൽകുന്ന സഹായ സുരക്ഷാ പ്രവർത്തനങ്ങളാണ്. ഒരു ട്രാൻസാക്ഷൻ ഇൻ്റഗ്രിറ്റി വെരിഫിക്കേഷൻ സംവിധാനം നടപ്പിലാക്കുന്നത്, ഓരോ ഇടപാടും അതിൻ്റെ കൃത്യതയും ആധികാരികതയും സ്ഥിരീകരിക്കുന്നതിന് സമഗ്രമായ പരിശോധനയ്ക്ക് വിധേയമാകുമെന്ന് ഉറപ്പാക്കുന്നു. നടപ്പിലാക്കുന്നതിനുള്ള മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർക്ക് ഇനിപ്പറയുന്ന നിർദ്ദേശിച്ച മികച്ച സമ്പ്രദായങ്ങൾ നടപ്പിലാക്കാൻ കഴിയും:
· ഒരു ഇടപാട് സ്ഥിരീകരണം/സ്ഥിരീകരണ കോൾ ആരംഭിക്കുക. · ഒരു തത്സമയ ഇടപാട് ചരിത്രം നൽകുക. · 12 മണിക്കൂർ മുതൽ 24 മണിക്കൂർ വരെ കൂൾഡൗൺ കാലയളവ് നടപ്പിലാക്കുക. · സ്ഥിരസ്ഥിതിയായി വിദേശ ഇടപാടുകൾ പ്രവർത്തനരഹിതമാക്കുക; MFA വഴി മാത്രം പ്രാപ്തമാക്കുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക: · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 57-58.
22

2. അംഗീകാരം

ആമുഖം
ഓതറൈസേഷൻ സെക്യൂരിറ്റി ഓതൻ്റിക്കേഷൻ സെക്യൂരിറ്റിയുമായി ചേർന്ന് പ്രവർത്തിക്കുന്നു. മൊബൈൽ ആപ്പുകളിലെ ഓതറൈസേഷൻ സെക്യൂരിറ്റി എന്നത് ഒരു ആപ്പിനുള്ളിൽ ആർക്കൊക്കെ എന്തൊക്കെ റിസോഴ്സുകൾ ആക്സസ് ചെയ്യാനാകുമെന്നത് നിർവചിക്കുന്ന ഒരു നിർണായക പ്രതിരോധമാണ്. ഇത് വ്യവസ്ഥാപിത നിയന്ത്രണങ്ങൾ സൃഷ്ടിക്കുകയും ഒരു ആപ്പിനുള്ളിൽ ഉപയോക്തൃ ആക്‌സസ് അവകാശങ്ങൾ സാധൂകരിക്കുകയും ചെയ്യുന്നു.
അംഗീകൃത ഉപയോക്താക്കൾ, ക്ലയൻ്റുകൾ, ആപ്പുകൾ, ഉപകരണങ്ങൾ എന്നിവയ്ക്ക് മാത്രമേ ശക്തമായ അംഗീകാര നിയന്ത്രണങ്ങളും അംഗീകാര സജ്ജീകരണങ്ങളും നടപ്പിലാക്കുന്നതിലൂടെ നിർദ്ദിഷ്ട ഉറവിടങ്ങൾ ആക്‌സസ് ചെയ്യാനോ ചില പ്രവർത്തനങ്ങൾ ചെയ്യാനോ കഴിയൂ എന്ന് ഉറപ്പാക്കാൻ ഡവലപ്പർമാർക്ക് കഴിയും. അംഗീകാര നിയന്ത്രണങ്ങളിലൂടെ, ഡവലപ്പർമാർക്ക് അനധികൃത ഡാറ്റാ ആക്‌സസിൻ്റെ അപകടസാധ്യത ലഘൂകരിക്കാനും സെൻസിറ്റീവ് ഡാറ്റയുടെ സമഗ്രത നിലനിർത്താനും ഉപയോക്തൃ സ്വകാര്യത ഉയർത്തിപ്പിടിക്കാനും ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാട് പ്രവർത്തനങ്ങളുടെ സമഗ്രത സംരക്ഷിക്കാനും കഴിയും. ഈ മെക്കാനിസങ്ങളുടെ നിർവ്വഹണം റിമോട്ട് എൻഡ്‌പോയിൻ്റിൽ ആയിരിക്കണം എങ്കിലും, ഉൾപ്പെട്ട അംഗീകാര പ്രോട്ടോക്കോളുകളുടെ സുരക്ഷിതമായ ഉപയോഗം ഉറപ്പാക്കാൻ ക്ലയൻ്റ്-സൈഡ് ആപ്പിന് പ്രസക്തമായ മികച്ച സമ്പ്രദായങ്ങൾ പിന്തുടരുന്നത് ഒരുപോലെ പ്രധാനമാണ്.
സെൻസിറ്റീവ് ഡാറ്റ പരിരക്ഷിക്കുന്നതിനും അനധികൃത ആക്‌സസ് തടയുന്നതിനും ആപ്പ് നടപ്പിലാക്കേണ്ട അംഗീകാര സുരക്ഷാ നിയന്ത്രണങ്ങൾ ഈ വിഭാഗത്തിലെ നിയന്ത്രണങ്ങൾ നൽകുന്നു. ഈ സുരക്ഷാ നിയന്ത്രണങ്ങൾ എങ്ങനെ നടപ്പിലാക്കാം എന്നതിനെക്കുറിച്ചുള്ള പ്രസക്തമായ മികച്ച സമ്പ്രദായങ്ങളും ഇത് ഡെവലപ്പർമാർക്ക് നൽകുന്നു.
സുരക്ഷാ നിയന്ത്രണങ്ങൾ

നിയന്ത്രണം

AUTHOR-BP01 സെർവർ-സൈഡ് അംഗീകാരം നടപ്പിലാക്കുക.

AUTHOR-BP02 ഉപകരണ ബൈൻഡിംഗ് വഴി ക്ലയൻ്റ്-സൈഡ് അംഗീകാരം നടപ്പിലാക്കുക.

AUTHOR-BP03 ആപ്പ് ഉപയോഗിക്കാൻ തുടങ്ങുന്നതിന് മുമ്പ് ആവശ്യമായ എല്ലാ അനുമതികളും ഉപയോക്താക്കളെ അറിയിക്കുക.

രചയിതാവ്-BP04

അംഗീകൃതവും പൂർത്തിയാക്കിയതുമായ ഉയർന്ന അപകടസാധ്യതയുള്ള എല്ലാ ഇടപാടുകൾക്കും ഉപയോക്താക്കളെ അറിയിക്കുക.

രചയിതാവ്-BP01
നിയന്ത്രണം ആപ്പ് സെർവർ സൈഡ് അംഗീകാരം നടപ്പിലാക്കുന്നു. വിവരണം സെർവർ-സൈഡ് അംഗീകാരം എന്നത് ഒരു സെർവർ അല്ലെങ്കിൽ ഒരു അംഗീകൃത സെർവർ മുഖേന ഉപയോക്താക്കൾക്കോ ആപ്പുകൾക്കോ ആക്സസ് അനുമതികൾ സാധൂകരിക്കുന്നതും അനുവദിക്കുന്നതും സൂചിപ്പിക്കുന്നു. ആക്‌സസ് കൺട്രോൾ തീരുമാനങ്ങളും അനുമതികളും ക്ലയൻ്റിനേക്കാൾ സെർവർ സൈഡിൽ നിയന്ത്രിക്കുകയും നടപ്പിലാക്കുകയും ചെയ്യുന്നുവെന്ന് ഇത് ഉറപ്പാക്കുന്നു. സെർവർ സൈഡ് അംഗീകാരം നടപ്പിലാക്കുന്നതിലൂടെ, ഡവലപ്പർമാർ ക്ഷുദ്രകരമായ ആക്രമണകാരികൾക്കുള്ള അവസരങ്ങൾ കുറയ്ക്കുന്നുampസെൻസിറ്റീവ് ഡാറ്റയിലേക്ക് (അതായത് PII-കളും പ്രാമാണീകരണ ഡാറ്റയും) അനധികൃത ആക്‌സസ് നേടുന്നതിന് ആപ്പിലെ സുരക്ഷാ നടപടികൾ er അല്ലെങ്കിൽ ബൈപാസ് ചെയ്യുക. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം, പ്രവേശന അനുമതികൾ നൽകുന്നതിന് മുമ്പ്, വിജയകരമായ പ്രാമാണീകരണത്തിന് ശേഷം ഡെവലപ്പർമാർ സെർവർ സൈഡ് അംഗീകാരം നടപ്പിലാക്കണം. ഇനിപ്പറയുന്നവയെ അടിസ്ഥാനമാക്കി ഉപയോക്താക്കൾക്ക് ആക്സസ് അനുവദിച്ചിട്ടുണ്ടെന്ന് ഡെവലപ്പർമാർ ഉറപ്പാക്കണം:
· അനുമതികളോടെ ചുമതലപ്പെടുത്തിയ റോൾ: ഉപയോക്താക്കൾക്ക് അവരുടെ ഉത്തരവാദിത്തങ്ങൾക്ക് പ്രസക്തമായ ജോലികൾ മാത്രമേ ചെയ്യാൻ കഴിയൂ എന്ന് ഉറപ്പാക്കുക.
· സാന്ദർഭിക ഘടകങ്ങൾ: പ്രവേശന സമയം, പെരുമാറ്റ വിശകലനം തുടങ്ങിയ ചലനാത്മക ആക്സസ് സാഹചര്യങ്ങൾ.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 50-55, 58. · പിസിഐ മൊബൈൽ പേയ്‌മെൻ്റ് സ്വീകാര്യത സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ v2.0.0 (2017), പേജ്. 10. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 10-11.
25

രചയിതാവ്-BP02
നിയന്ത്രണം ഉപകരണം ബൈൻഡിംഗ് വഴി ആപ്പ് ക്ലയൻ്റ് സൈഡ് അംഗീകാരം നടപ്പിലാക്കുന്നു.
വിവരണം
ഒരു മൊബൈൽ ആപ്പിനുള്ളിൽ ആക്സസ് അനുമതികൾ കൈകാര്യം ചെയ്യുന്ന പ്രക്രിയയാണ് ക്ലയൻ്റ് സൈഡ് ഓതറൈസേഷൻ. ഇത് അപകടസാധ്യതയുള്ളതാണ്, കാരണം ക്ലയൻ്റ് വശത്തെ ആശ്രയിക്കുന്നത് അനധികൃത ആക്‌സസ്, സാധ്യതയുള്ള വഞ്ചന തുടങ്ങിയ കേടുപാടുകളിലേക്ക് ആപ്പുകളെ തുറന്നുകാട്ടും.
ഒരു ആപ്പിൻ്റെ ബിസിനസ് പ്രവർത്തനങ്ങൾക്ക് (ഉദാ, സോഫ്‌റ്റ്‌വെയർ ടോക്കണുകൾ തൽക്ഷണം) ക്ലയൻ്റ്-സൈഡ് അംഗീകാരങ്ങൾ ആവശ്യമാണെങ്കിൽ, ഉപകരണ ബൈൻഡിംഗ് (ഒരു പ്രത്യേക ഉപകരണത്തിൽ പ്രത്യേകാവകാശങ്ങൾ ആക്‌സസ് ചെയ്യുന്നതിനുള്ള അംഗീകാരങ്ങളെ ബന്ധപ്പെടുത്തുന്ന ഒരു സുരക്ഷാ സമ്പ്രദായം) ശുപാർശ ചെയ്യുന്നു. ഉപകരണ ബൈൻഡിംഗ് നടപ്പിലാക്കുന്നതിലൂടെ, ആപ്പുകൾക്ക് ഉപകരണ ഐഡൻ്റിറ്റി പരിശോധിച്ചുറപ്പിക്കാനും വിശ്വാസ്യത സ്ഥാപിക്കാനും കഴിയും. ഇത് അനധികൃത ആക്‌സസുമായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ കുറയ്ക്കുകയും ഉപകരണങ്ങൾ, ആപ്പുകൾ, സെർവറുകൾ എന്നിവയ്ക്കിടയിൽ സുരക്ഷിതവും വിശ്വസനീയവുമായ പാത നിലനിർത്തുകയും ചെയ്യുന്നു.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
രജിസ്റ്റർ ചെയ്യാത്ത ഒരു മൊബൈൽ ഉപകരണത്തിൽ ആദ്യമായി ഒരു ഉപയോക്താവിൻ്റെ ഐഡൻ്റിറ്റി ഉപയോഗിക്കുമ്പോൾ ഡെവലപ്പർമാർ ആപ്പുകളും ഉപകരണവും തമ്മിൽ ബൈൻഡിംഗ് സ്ഥാപിക്കണം.
ഡെവലപ്പർമാർ ആ ആപ്പുകളും പരിശോധിച്ചുറപ്പിക്കണം:
· അവസാന റൺടൈം മുതൽ ഉപകരണത്തിൽ മാറ്റങ്ങൾ വരുത്തുന്നുണ്ടോയെന്ന് പരിശോധിക്കുക. · ഉപകരണ ഐഡൻ്റിറ്റി മാർക്കറുകളിലെ മാറ്റങ്ങൾ പരിശോധിക്കുക. · ആപ്പ് പ്രവർത്തിക്കുന്ന ഉപകരണം സുരക്ഷിതമായ നിലയിലാണോ എന്ന് പരിശോധിക്കുക (ഉദാ: ജയിൽ ബ്രേക്കിംഗ് അല്ലെങ്കിൽ റൂട്ടിംഗ് ഇല്ല). മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച പരിശീലന സാങ്കേതിക വിദ്യകൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ സാങ്കേതികവിദ്യകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, ഉപകരണ ബൈൻഡിംഗുകൾ പരിശോധിക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡെവലപ്പർമാർ അറിഞ്ഞിരിക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
Android ഉപകരണങ്ങളിൽ ഉപകരണം പരിശോധിക്കാൻ, ഡെവലപ്പർമാർക്ക് ഇവ ചെയ്യാനാകും:
· IMEI അല്ലെങ്കിൽ Android ID പോലുള്ള അദ്വിതീയ ഐഡൻ്റിഫയറുകൾ നേടുക. · ബിൽഡ് വിവരങ്ങൾ വീണ്ടെടുക്കുക. · Google-ൻ്റെ SafetyNet പോലുള്ള നേറ്റീവ് OS API സവിശേഷതകൾ പ്രയോജനപ്പെടുത്തുക.
iOS ഉപകരണങ്ങളിൽ ഉപകരണം പരിശോധിക്കാൻ, ഡെവലപ്പർമാർക്ക് ഇവ ചെയ്യാനാകും:
· UIDevice വഴി ആപ്പിളിൻ്റെ ഉപകരണ ഐഡി പോലുള്ള നേറ്റീവ് OS സേവനങ്ങൾ പ്രയോജനപ്പെടുത്തുക.
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 316-317, 516. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 51, 56.
26

രചയിതാവ്-BP03
നിയന്ത്രണം ഉപയോക്താക്കൾ ആപ്പ് ഉപയോഗിക്കാൻ തുടങ്ങുന്നതിന് മുമ്പ് ആവശ്യമായ എല്ലാ അനുമതികളും ആപ്പ് അറിയിക്കുന്നു. വിവരണം മൊബൈൽ ഉപകരണത്തിൽ നിന്ന് ആപ്പ് അഭ്യർത്ഥിക്കുന്ന പ്രത്യേക അവകാശങ്ങളും കഴിവുകളുമാണ് ആവശ്യമായ അനുമതികൾ. ഉപയോക്താക്കളുടെ ഉപകരണങ്ങളിൽ ആപ്പിന് ആക്‌സസ് ചെയ്യാനാകുന്ന ഉറവിടങ്ങളോ പ്രവർത്തനങ്ങളോ ഈ അനുമതികൾ നിർവചിക്കുന്നു. ചില മുൻampക്യാമറ, മൈക്രോഫോൺ, ലൊക്കേഷൻ മുതലായവ ഉൾപ്പെടുന്നു, എന്നാൽ അതിൽ മാത്രം പരിമിതപ്പെടുന്നില്ല. എന്ത് അനുമതികളാണ് അഭ്യർത്ഥിക്കുന്നതെന്ന് ഉപയോക്താക്കളെ അറിയിക്കുന്ന ശരിയായ അറിയിപ്പുകൾ നടപ്പിലാക്കുന്നതിലൂടെ, ഡവലപ്പർമാർക്ക് ഉപയോക്താക്കളെ അറിയാതെ അമിതമായ അനുമതികൾ നൽകുന്നത് തടയാൻ കഴിയും, ഇത് ക്ഷുദ്രകരമായ അഭിനേതാക്കളെ കേടുപാടുകൾ മുതലെടുക്കാൻ അനുവദിച്ചേക്കാം. കൂടാതെ സെൻസിറ്റീവ് ഡാറ്റ മോഷ്ടിക്കുക (അതായത് PII-കളും പ്രാമാണീകരണ ഡാറ്റയും). അത്തരം അറിയിപ്പുകൾ ഉപയോക്താക്കൾക്ക് അവർ ഇൻസ്റ്റാൾ ചെയ്യുന്ന ആപ്പുകളെ കുറിച്ച് അറിവുള്ള തീരുമാനങ്ങൾ എടുക്കാൻ അനുവദിക്കും. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡവലപ്പർമാർ ആക്‌സസ് അനുമതിക്കായി ഉപയോക്താക്കളോട് അഭ്യർത്ഥിക്കാൻ ഇൻ-ആപ്പ് (ഇൻ-ആപ്പ്) അലേർട്ടുകൾ ഉപയോഗിക്കണം. അറിയിപ്പുകൾ/അലേർട്ടുകൾ സെൻസിറ്റീവ് ഡാറ്റ പ്രദർശിപ്പിക്കുന്നില്ലെന്ന് ഡെവലപ്പർമാർ ഉറപ്പാക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഡെവലപ്പർമാർ ആപ്പിൻ്റെ പ്രവർത്തനത്തിന് ആവശ്യമായ അനുമതികൾ മാത്രമേ അഭ്യർത്ഥിക്കാവൂ. ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 56, 58. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 8, 18, 28. · സ്വകാര്യതയെക്കുറിച്ചുള്ള ആപ്പിൾ ഡെവലപ്പർ ഗൈഡ്, https://developer.apple.com/design/human-interface-
മാർഗ്ഗനിർദ്ദേശങ്ങൾ/സ്വകാര്യത (ജനുവരി 2024). · സ്വകാര്യതയെക്കുറിച്ചുള്ള Android ഡെവലപ്പർ ഗൈഡ്, https://developer.android.com/qualitty/privacy-and-
സുരക്ഷ (ജനുവരി 2024).
27

രചയിതാവ്-BP04
നിയന്ത്രണം അംഗീകൃതവും പൂർത്തിയാക്കിയതുമായ ഉയർന്ന അപകടസാധ്യതയുള്ള എല്ലാ ഇടപാടുകൾക്കും ആപ്പ് ഉപയോക്താക്കളെ അറിയിക്കുന്നു.
വിവരണം ഒരു ആപ്പിന് ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാട് പ്രവർത്തനങ്ങളുണ്ടെങ്കിൽ, ഒരു ഇടപാട് അംഗീകരിക്കുകയും പൂർത്തിയാക്കുകയും ചെയ്യുമ്പോൾ ഉപയോക്താക്കളെ ഉടൻ അറിയിക്കണം. ഈ നിയന്ത്രണം നടപ്പിലാക്കുന്നതിലൂടെ, ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ അംഗീകരിക്കപ്പെടുകയും പൂർത്തിയാക്കുകയും ചെയ്യുമ്പോൾ ഉപയോക്താക്കളെ ഉടനടി ബോധവാന്മാരാക്കുന്നുവെന്ന് ഡവലപ്പർമാർക്ക് ഉറപ്പാക്കാൻ കഴിയും, അതുവഴി അവർക്ക് കഴിയുന്നത്ര വേഗത്തിൽ വഞ്ചനാപരമായ ഇടപാടുകൾ തിരിച്ചറിയാൻ കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഉപയോക്താവിനെ അറിയിക്കുന്നതിന് ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന രീതികൾ സ്വീകരിക്കണം:
· ഇൻ-ആപ്ലിക്കേഷൻ (ഇൻ-ആപ്പ്) അലേർട്ടുകൾ. · ഇമെയിൽ അറിയിപ്പുകൾ. · ഹ്രസ്വ സന്ദേശ സേവന (എസ്എംഎസ്) അറിയിപ്പുകൾ. അറിയിപ്പുകൾ/അലേർട്ടുകൾ സെൻസിറ്റീവ് ഡാറ്റ പ്രദർശിപ്പിക്കുന്നില്ലെന്ന് ഡെവലപ്പർമാർ ഉറപ്പാക്കണം.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച പരിശീലന അറിയിപ്പ് ടെക്നിക്കുകൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ സാങ്കേതികവിദ്യകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, അംഗീകൃതവും പൂർത്തിയാക്കിയതുമായ ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകളെ കുറിച്ച് ഉപയോക്താക്കളെ അറിയിക്കുന്നതിന് ഡെവലപ്പർമാർ ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ അറിഞ്ഞിരിക്കണം.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ആപ്പിൻ്റെ പ്രവർത്തനത്തിനായി ഡെവലപ്പർമാർ അത്യാവശ്യ അനുമതികൾ മാത്രം അഭ്യർത്ഥിക്കണം.
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 52. · പിസിഐ മൊബൈൽ പേയ്‌മെൻ്റ് സ്വീകാര്യത സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ v2.0.0 (2017), പേജ്. 10. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 8. · സ്വകാര്യതയെക്കുറിച്ചുള്ള ആപ്പിൾ ഡെവലപ്പർ ഗൈഡ്, https://developer.apple.com/design/human-interface-
മാർഗ്ഗനിർദ്ദേശങ്ങൾ/സ്വകാര്യത (ജനുവരി 2024). · സ്വകാര്യതയെക്കുറിച്ചുള്ള Android ഡെവലപ്പർ ഗൈഡ്, https://developer.android.com/qualitty/privacy-and-
സുരക്ഷ (ജനുവരി 2024).
28

3. ഡാറ്റ സംഭരണം (ഡാറ്റ-അറ്റ്-റെസ്റ്റ്)

ആമുഖം
സജീവമായി ഉപയോഗിക്കാത്തതോ കൈമാറ്റം ചെയ്യപ്പെടാത്തതോ ആയ സമയത്ത്, ക്ലയൻ്റ് സൈഡ് ഉപകരണത്തിലും ആപ്പ് സെർവർസൈഡിലും പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന സെൻസിറ്റീവ് ഡാറ്റയുടെ (അതായത് PII-കളും പ്രാമാണീകരണ ഡാറ്റയും) സമഗ്രതയും രഹസ്യാത്മകതയും സംരക്ഷിക്കുന്നതിനാണ് ഡാറ്റ-അറ്റ്-റെസ്റ്റിനുള്ള ഡാറ്റ സ്റ്റോറേജ് സുരക്ഷ. ഡാറ്റാബേസുകളിൽ സംഭരിച്ചിരിക്കുന്ന ഡാറ്റ സുരക്ഷിതമാക്കാൻ ഉപയോഗിക്കുന്ന മികച്ച രീതികളും സംരക്ഷണ നടപടികളും എൻക്രിപ്ഷൻ ടെക്നിക്കുകളും ഇത് ഉൾക്കൊള്ളുന്നു, fileമൊബൈൽ ഉപകരണങ്ങളിലെയും ആപ്പ് സെർവറുകളിലെ സമാന മേഖലകളിലെയും s, കാഷെകൾ, മെമ്മറി, ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റ് (TEE).
വിശ്രമവേളയിൽ ഡാറ്റ സംഭരിക്കുന്നതിന് ശക്തമായ സുരക്ഷാ നിയന്ത്രണങ്ങൾ നടപ്പിലാക്കുന്നതിലൂടെ ഉപയോക്തൃ ഡാറ്റ സംരക്ഷിക്കപ്പെടുകയും പരിരക്ഷിക്കപ്പെടുകയും ചെയ്യുന്നുവെന്ന് ഡവലപ്പർമാർക്ക് ഉറപ്പാക്കാനാകും. അനധികൃത ആക്‌സസ്, ഉപകരണ വിട്ടുവീഴ്ച, സാധ്യതയുള്ള ഡാറ്റാ ലംഘനങ്ങൾ, ഡാറ്റ ചോർച്ചകൾ എന്നിവയുടെ അപകടസാധ്യതകൾ ലഘൂകരിക്കാനും ആപ്പ് പ്രതിരോധം ശക്തിപ്പെടുത്താനും ആപ്പിന് കഴിയുമെന്ന് ശരിയായ ഡാറ്റ-റെസ്റ്റ് നിയന്ത്രണങ്ങൾ ഉറപ്പാക്കുന്നു.
ടാർഗെറ്റ് ലൊക്കേഷൻ പരിഗണിക്കാതെ തന്നെ, ആപ്പ് മനപ്പൂർവ്വം സംഭരിച്ചിരിക്കുന്ന ഏതൊരു സെൻസിറ്റീവ് ഡാറ്റയും വേണ്ടത്ര പരിരക്ഷിതമാണെന്ന് ഇനിപ്പറയുന്ന നിയന്ത്രണങ്ങൾ ഉറപ്പാക്കുന്നു. API-കളുടെയോ സിസ്റ്റം കഴിവുകളുടെയോ അനുചിതമായ ഉപയോഗം മൂലമുള്ള മനഃപൂർവമല്ലാത്ത ചോർച്ചകളും ഇത് ഉൾക്കൊള്ളുന്നു.
സുരക്ഷാ നിയന്ത്രണങ്ങൾ

നിയന്ത്രണം

STORAGE-BP01 ഇടപാടുകൾക്ക് മാത്രം ആവശ്യമായ സെൻസിറ്റീവ് ഡാറ്റ സംഭരിക്കുക.

STORAGE-BP02 സെൻസിറ്റീവ് ഡാറ്റയുടെ സുരക്ഷിത സംഭരണം നടപ്പിലാക്കുക.

STORAGE-BP02a സെൻസിറ്റീവ് ഡാറ്റ സെർവർ സൈഡിൽ സുരക്ഷിതമായി സംഭരിക്കുക.

സംഭരണം-BP02b

ഒരു ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റിൽ (TEE) ക്ലയൻ്റ് സൈഡിൽ സെൻസിറ്റീവ് ഡാറ്റ സുരക്ഷിതമായി സംഭരിക്കുക.

STORAGE-BP03 ഇനി ആവശ്യമില്ലാത്തപ്പോൾ സെൻസിറ്റീവ് ഡാറ്റ ഇല്ലാതാക്കുക.

സംഭരണം-BP01
നിയന്ത്രണം ഇടപാടുകൾക്ക് മാത്രം ആവശ്യമായ സെൻസിറ്റീവ് ഡാറ്റ ആപ്പ് സംഭരിക്കുന്നു. വിവരണം സെൻസിറ്റീവ് ഡാറ്റ എന്നത് ഉപയോക്തൃ ഡാറ്റയും (PII-കൾ) പ്രാമാണീകരണ ഡാറ്റയും (ഉദാ. ക്രെഡൻഷ്യലുകൾ, എൻക്രിപ്ഷൻ കീകൾ മുതലായവ) ആപ്പ് ബിസിനസ് ഫംഗ്‌ഷനുകൾക്ക് ആവശ്യമായ സെൻസിറ്റീവ് ഡാറ്റ മാത്രമേ ഡെവലപ്പർമാർ സംഭരിക്കാൻ പാടുള്ളൂ. അനാവശ്യമായ വിവരങ്ങൾ ശേഖരിക്കുന്നത് സുരക്ഷാ ലംഘനങ്ങളുടെ ആഘാതം വർദ്ധിപ്പിക്കുന്നു, ക്ഷുദ്രകരമായ അഭിനേതാക്കൾക്കായി ഒരു ആപ്പിനെ ആകർഷകമായ ലക്ഷ്യമാക്കി മാറ്റുന്നു. ഈ സുരക്ഷാ നിയന്ത്രണം നടപ്പിലാക്കുന്നതിലൂടെ, നിർദ്ദിഷ്ട ബിസിനസ് പ്രവർത്തനങ്ങൾക്ക് ആവശ്യമായ ഡാറ്റയിൽ മാത്രം എക്സ്പോഷർ പരിമിതപ്പെടുത്തിയിരിക്കുന്നുവെന്ന് ഡവലപ്പർമാർക്ക് ഉറപ്പാക്കാൻ കഴിയും, അനധികൃത ആക്സസ് അല്ലെങ്കിൽ ഡാറ്റ ലംഘനങ്ങൾ ഉണ്ടാകുമ്പോൾ ആഘാതം കുറയ്ക്കുന്നു. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർ ആപ്പ് ഉപയോഗിക്കുന്ന ഡാറ്റയെ ഒരു ഓർഗനൈസേഷൻ്റെ സെൻസിറ്റിവിറ്റി ലെവലുകൾ അടിസ്ഥാനമാക്കിയും നിയമപരമായ നിയമ ആവശ്യകതകളെ അടിസ്ഥാനമാക്കിയും തരംതിരിക്കണം. സെൻസിറ്റീവ് എന്ന് തരംതിരിക്കുന്ന ഡാറ്റ സുരക്ഷിതമാക്കാൻ ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന മാർഗ്ഗനിർദ്ദേശങ്ങൾ സ്വീകരിക്കണം:
1. ക്ലയൻ്റ്-സൈഡ്/സെർവർ-സൈഡിൽ അതിൻ്റെ സംവേദനക്ഷമതയെ അടിസ്ഥാനമാക്കി ഒരു സുരക്ഷിത സംഭരണ പരിഹാരം നടപ്പിലാക്കുക. 2. ഡാറ്റ സംരക്ഷണ നടപടികൾ പ്രയോഗിക്കുക (ഉദാ. ടോക്കണൈസിംഗ്, ഉപ്പ് ഉപയോഗിച്ച് ഹാഷിംഗ്, എൻക്രിപ്റ്റിംഗ്) 3. ഇനി ആവശ്യമില്ലാത്തപ്പോൾ സെൻസിറ്റീവ് ഡാറ്റ ഇല്ലാതാക്കുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക: · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 190, 398. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 9-10, 36, 38. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 6.
31

സംഭരണം-BP02
നിയന്ത്രണം ആപ്പ് സെൻസിറ്റീവ് ഡാറ്റയുടെ സുരക്ഷിത സംഭരണം നടപ്പിലാക്കുന്നു. വിവരണം മൊബൈൽ ആപ്പുകൾക്കുള്ള സുരക്ഷിത സംഭരണം എന്നത് അനധികൃത ആക്‌സസ്, മോഷണം അല്ലെങ്കിൽ ടി എന്നിവയിൽ നിന്ന് മൊബൈൽ ഉപകരണങ്ങളിലും ആപ്പ് സെർവറുകളിലും സംഭരിച്ചിരിക്കുന്ന സെൻസിറ്റീവ് ഡാറ്റ പരിരക്ഷിക്കുന്നതിനുള്ള സാങ്കേതിക വിദ്യകളും രീതികളും നടപ്പിലാക്കുന്നതിനെ സൂചിപ്പിക്കുന്നു.ampഎറിംഗ്. എൻക്രിപ്ഷൻ, ഹാഷിംഗ്, ടോക്കണൈസേഷൻ, ശരിയായ ആക്സസ് നിയന്ത്രണങ്ങൾ എന്നിവ പോലുള്ള മികച്ച സമ്പ്രദായങ്ങൾ ഇതിൽ ഉൾപ്പെടുന്നു. സുരക്ഷിതമായ സംഭരണം നടപ്പിലാക്കുന്നതിലൂടെ, ഡവലപ്പർമാർക്ക് അനധികൃത ആക്‌സസ്, ഉപകരണ വിട്ടുവീഴ്ച, സാധ്യതയുള്ള ഡാറ്റാ ലംഘനങ്ങൾ, ഡാറ്റ ചോർച്ച എന്നിവയ്‌ക്കെതിരെ ലഘൂകരിക്കാനാകും. നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം ഡെവലപ്പർമാർ ഡാറ്റയുടെ സെൻസിറ്റിവിറ്റിക്ക് അനുയോജ്യമായ ഒരു സുരക്ഷിത സംഭരണ പരിഹാരം നടപ്പിലാക്കണം. സുരക്ഷിത സംഭരണ പരിഹാരത്തിനായി ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന ഓർഡറിനും മുൻഗണന നൽകണം (ഏറ്റവും സെൻസിറ്റീവ് ഡാറ്റ മുതൽ ഏറ്റവും സെൻസിറ്റീവ് ഡാറ്റ വരെ):
1. സെർവർ സൈഡ് (എല്ലാ സെൻസിറ്റീവ് ഡാറ്റയും സെർവർ സൈഡിൽ സൂക്ഷിക്കണം). 2. ട്രസ്റ്റഡ് എക്സിക്യൂഷൻ എൻവയോൺമെൻ്റിനുള്ളിലെ ക്ലയൻ്റ് സൈഡ് (സെർവർ സൈഡ് അല്ലാത്ത സാഹചര്യത്തിൽ
സാധ്യമാണ്, എല്ലാ സെൻസിറ്റീവ് ഡാറ്റയും ക്ലയൻ്റ്-സൈഡ് TEE-ൽ സംഭരിക്കുക). ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 17-18. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 190-203, 398-
406. · ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 06-07.
32

സംഭരണം-BP02a
നിയന്ത്രണം
ആപ്പ് സെൻസിറ്റീവ് ഡാറ്റ സെർവർ സൈഡിൽ സുരക്ഷിതമായി സംഭരിക്കുന്നു.
വിവരണം
സെർവർ സൈഡിൽ സെൻസിറ്റീവ് ഡാറ്റ സംഭരിക്കുന്നത് റിമോട്ട് ആപ്പ് സെർവറുകളിലോ ഡാറ്റാബേസുകളിലോ ഡാറ്റ സംഭരിക്കുന്നതിനെ സൂചിപ്പിക്കുന്നു. അത്തരം ഒരു സമീപനം അനധികൃത ആക്‌സസ് അല്ലെങ്കിൽ ലംഘനങ്ങളിൽ നിന്ന് ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് മെച്ചപ്പെട്ട അന്തരീക്ഷം സൃഷ്ടിക്കുന്നു, കൂടുതൽ സുരക്ഷിതമായ ആക്‌സസ് നിയന്ത്രണം പ്രാപ്‌തമാക്കുന്നു, കൂടുതൽ സങ്കീർണ്ണമായ എൻക്രിപ്ഷനുകളും വേഗത്തിലുള്ള സുരക്ഷാ അപ്‌ഡേറ്റുകളുടെ വ്യവസ്ഥകളും പോലുള്ള മികച്ച സുരക്ഷാ നടപടികൾ നടപ്പിലാക്കുന്നതിനുള്ള ഓപ്ഷനുകൾ.
സെൻസിറ്റീവ് ഡാറ്റയുടെ സെർവർ-സൈഡ് സ്റ്റോറേജ് നടപ്പിലാക്കുന്നതിലൂടെ, ക്ലയൻ്റ്-സൈഡ് ഡാറ്റ സംഭരണത്തിൻ്റെ അന്തർലീനമായ അപകടസാധ്യതകൾക്കെതിരെ ഡെവലപ്പർമാർക്ക് ലഘൂകരിക്കാനാകും, കാരണം മൊബൈൽ സ്‌കാമുകളിൽ ക്ഷുദ്രകരമായ അഭിനേതാക്കൾ സാധാരണയായി ഉപയോഗിക്കുന്ന ഡാറ്റ സ്റ്റോറേജ് ചൂഷണ സാങ്കേതികതകൾക്ക് ക്ലയൻ്റ്-സൈഡ് സ്റ്റോറേജ് അന്തർലീനമായി കൂടുതൽ വിധേയമാണ്.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന ഡാറ്റ സംരക്ഷണ നടപടികളിൽ 1 എങ്കിലും പ്രയോഗിക്കണം:
1. പാസ്‌വേഡുകൾക്ക് മാത്രം, ഡെവലപ്പർമാർക്ക് ഉപ്പ്6 ഉപയോഗിച്ച് ഹാഷിംഗ് ഉപയോഗിക്കാം. യഥാർത്ഥ പാസ്‌വേഡുകൾ സംഭരിക്കുന്നതിനുപകരം, അദ്വിതീയ ലവണങ്ങൾ സൃഷ്ടിക്കപ്പെടുകയും പാസ്‌വേഡുകളുമായി സംയോജിപ്പിച്ച് ഉപ്പിട്ട ഹാഷുകൾ സൃഷ്ടിക്കുകയും ചെയ്യുന്നു.
2. ഡെവലപ്പർമാർക്ക് AES-7 പോലുള്ള എൻക്രിപ്ഷൻ മാനദണ്ഡങ്ങൾ ഉപയോഗിച്ച് 128 സെൻസിറ്റീവ് ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ കഴിയും. 3. ഡെവലപ്പർമാർക്ക് സ്വയം നിയന്ത്രിത ടോക്കണൈസേഷൻ അല്ലെങ്കിൽ ടോക്കണൈസേഷൻ ഉപയോഗിച്ച് ടോക്കണൈസേഷൻ 8 നടപ്പിലാക്കാൻ കഴിയും
സേവനം, സാധ്യമായ ഇടങ്ങളിൽ ടോക്കണുകൾ ഉപയോഗിച്ച് സെൻസിറ്റീവ് ഡാറ്റ മാറ്റിസ്ഥാപിക്കുന്നു. കൂടാതെ, ഡാറ്റാ സെൻസിറ്റിവിറ്റിയും ബിസിനസ് ആവശ്യങ്ങളും അടിസ്ഥാനമാക്കി ടോക്കണൈസേഷൻ മതിയായ ദൈർഘ്യവും സങ്കീർണ്ണതയും (സുരക്ഷിത ക്രിപ്‌റ്റോഗ്രാഫിയുടെ പിന്തുണയോടെ) ഉണ്ടെന്ന് ഡവലപ്പർമാർ ഉറപ്പാക്കണം.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച രീതികൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ മികച്ച രീതികൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, സെർവർ സൈഡിൽ സെൻസിറ്റീവ് ഡാറ്റ സുരക്ഷിതമായി സംഭരിക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡെവലപ്പർമാർ അറിഞ്ഞിരിക്കണം.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 19-20. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 71-77, 219-227,
416-421. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 30, 36-37, 39. · പിസിഐ മൊബൈൽ പേയ്‌മെൻ്റ് സ്വീകാര്യത സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ v2.0.0 (2017), പേജ്. 9. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 6-9.
6 ആക്രമണകാരികൾക്ക് യഥാർത്ഥ സെൻസിറ്റീവ് ഡാറ്റ ഡീക്രിപ്റ്റ് ചെയ്യാൻ ഗണിതപരമായി തീവ്രമാക്കിക്കൊണ്ട് ഒരു അധിക സുരക്ഷാ പാളി ചേർക്കാൻ ഉപ്പ് വിത്ത് ഹാഷിംഗ് ഉപയോഗിക്കുന്നു. പാസ്‌വേഡ് സ്‌റ്റോറേജിൻ്റെയോ കീ ഡെറിവേറ്റേഷൻ്റെയോ പശ്ചാത്തലത്തിൽ, ഡെവലപ്പർമാർ വൺ-വേ കീ ഡെറിവേഷൻ ഫംഗ്‌ഷനുകളോ PBKDF2, bcrypt, അല്ലെങ്കിൽ scrypt പോലുള്ള സ്ലോ ഹാഷ് അൽഗോരിതങ്ങളോ ഉപയോഗിക്കണം. 7 അംഗീകാരമില്ലാതെ ആക്‌സസ് ചെയ്‌താലും, സെൻസിറ്റീവ് ഡാറ്റ രഹസ്യമായി തുടരുന്നുവെന്ന് ഉറപ്പാക്കിക്കൊണ്ട്, വായിക്കാൻ കഴിയാത്ത ഫോർമാറ്റിലേക്ക് ഡാറ്റ രൂപാന്തരപ്പെടുത്തുന്നതിന് എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്നു. 8 സെൻസിറ്റീവ് ഡാറ്റ എക്സ്പോഷറിൻ്റെ അപകടസാധ്യത കുറയ്ക്കുന്നതിന് ടോക്കണുകൾ ഉപയോഗിച്ച് സെൻസിറ്റീവ് ഡാറ്റയ്ക്ക് പകരമായി ടോക്കണൈസേഷൻ ഉപയോഗിക്കുന്നു.
33

സംഭരണം-BP02b
നിയന്ത്രണം
ഒരു ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റിൽ (TEE) ക്ലയൻ്റ് സൈഡിൽ ആപ്പ് സെൻസിറ്റീവ് ഡാറ്റ സുരക്ഷിതമായി സംഭരിക്കുന്നു.
വിവരണം
ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റ് (TEE) എന്നത് ഒരു മൊബൈൽ ഉപകരണത്തിൻ്റെ ഹാർഡ്‌വെയറിലോ പ്രോസസർ ആർക്കിടെക്ചറിലോ ഉള്ള ഒരു ഒറ്റപ്പെട്ട പ്രദേശമാണ്, അത് സെൻസിറ്റീവ് ഡാറ്റ സംഭരിക്കുന്നതിനും സെൻസിറ്റീവ് അല്ലെങ്കിൽ ക്രിട്ടിക്കൽ പ്രവർത്തനങ്ങൾ നടത്തുന്നതിനും വളരെ സുരക്ഷിതമായ അന്തരീക്ഷം നൽകുന്നു. സെൻസിറ്റീവ് ഡാറ്റ, ക്രിപ്‌റ്റോഗ്രാഫിക് കീകൾ, നിർണ്ണായക പ്രക്രിയകൾ എന്നിവ അനധികൃത ആക്‌സസ് അല്ലെങ്കിൽ ടിയിൽ നിന്ന് സംരക്ഷിക്കുന്നതിനാണ് ഇത് രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്.ampഎറിംഗ്. ഒരു ആപ്പിൻ്റെ ബിസിനസ് പ്രവർത്തനങ്ങൾക്ക് ക്ലയൻ്റ് സൈഡിൽ സെൻസിറ്റീവ് ഡാറ്റയുടെ സംഭരണം ആവശ്യമാണെങ്കിൽ, അത് ഉപകരണത്തിൻ്റെ TEE-ൽ സംഭരിക്കാൻ ശുപാർശ ചെയ്യുന്നു.
ക്ലയൻ്റ്-സൈഡ് TEE-യിൽ സെൻസിറ്റീവ് ഡാറ്റയുടെ ശരിയായ സംഭരണം നടപ്പിലാക്കുന്നതിലൂടെ, അപഹരിക്കപ്പെട്ട ഉപകരണത്തിൽ നിന്നും ബാഹ്യ ക്ഷുദ്രക്കാരിൽ നിന്നും ഉണ്ടാകുന്ന ഭീഷണികൾക്കെതിരെ ഡവലപ്പർമാർക്ക് ലഘൂകരിക്കാനാകും. അത്തരം സംഭരണത്തിന് ഒരു ആപ്പിലെ ഉപയോക്താവിൻ്റെ സെൻസിറ്റീവ് ഡാറ്റയിലേക്കുള്ള അനധികൃത ആക്‌സസ് ലഘൂകരിക്കാനും ഏതെങ്കിലും എൻക്രിപ്ഷൻ കീകൾ മോഷ്ടിക്കപ്പെടുന്നത് തടയാനും കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ആൻഡ്രോയിഡിൻ്റെ ARM-ൻ്റെ TrustZone, Apple's Secure Enclave പോലെയുള്ള ഒരു ട്രസ്റ്റഡ് എക്‌സിക്യൂഷൻ എൻവയോൺമെൻ്റിൽ (TEE) ക്ലയൻ്റ് സൈഡിൽ ഡെവലപ്പർമാർ സെൻസിറ്റീവ് ഡാറ്റ സുരക്ഷിതമായി സൂക്ഷിക്കണം.
ഡെവലപ്പർമാർ ഒരു TEE-യിൽ ഇനിപ്പറയുന്ന സെൻസിറ്റീവ് ഡാറ്റയുടെ ഏറ്റവും കുറഞ്ഞ ലിസ്റ്റ് സംഭരിച്ചിരിക്കണം:
· ബയോമെട്രിക് ഐഡൻ്റിഫയറുകൾ. · പ്രാമാണീകരണ ടോക്കണുകൾ. Android കീസ്റ്റോർ, iOS പോലുള്ള സുരക്ഷിതമായ കീ മാനേജ്മെൻ്റ് സിസ്റ്റത്തിലെ ക്രിപ്റ്റോഗ്രാഫിക് കീകൾ
കീചെയിൻ.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampഎന്താണ് സെൻസിറ്റീവ് ഡാറ്റ ഡെവലപ്പർമാർ TEE-യിൽ സംഭരിക്കേണ്ടത്. മൊബൈൽ ഉപകരണങ്ങളുടെ ഇക്കോസിസ്റ്റം വികസിക്കുന്നതിനനുസരിച്ച്, TEE-യിൽ സംഭരിക്കണമെന്ന് അവർ കരുതുന്ന ഏത് ഡാറ്റയും സംഭരിക്കുന്നതിനുള്ള സ്വാതന്ത്ര്യം ഡെവലപ്പർമാർ ഉപയോഗിക്കണം.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
ഹാർഡ്‌വെയർ TEE-കൾ ഇല്ലാത്ത ഉപകരണങ്ങൾക്കായി, വിർച്വലൈസ് ചെയ്ത TEE-കളുടെ ഉപയോഗം ഡവലപ്പർമാർ പരിഗണിച്ചേക്കാം.
പകരമായി, ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾക്ക് ആപ്പ് സുരക്ഷിതമല്ലെന്ന് കരുതുന്നതിനാൽ, ആപ്പ് പ്രവർത്തനരഹിതമാക്കുന്നതോ ആപ്പിൻ്റെ ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾ പ്രവർത്തനരഹിതമാക്കുന്നതോ ഡെവലപ്പർമാർക്ക് പരിഗണിക്കാവുന്നതാണ്.
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 19-20. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 75, 93, 194-200. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 51. · പിസിഐ മൊബൈൽ പേയ്‌മെൻ്റ് സ്വീകാര്യത സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ v2.0.0 (2017), പേജ്. 07-09, 14. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 10.
34

സംഭരണം-BP03
നിയന്ത്രണം
ആവശ്യമില്ലാത്തപ്പോൾ ആപ്പ് സെൻസിറ്റീവ് ഡാറ്റ ഇല്ലാതാക്കുന്നു.
വിവരണം
സെൻസിറ്റീവ് ഡാറ്റ ഇല്ലാതാക്കുന്നത് സ്റ്റോറേജ് ഡിവൈസുകൾ, സെർവറുകൾ അല്ലെങ്കിൽ ഡാറ്റാബേസുകളിൽ നിന്ന് രഹസ്യസ്വഭാവമുള്ളതോ സ്വകാര്യമോ സെൻസിറ്റീവായതോ ആയ ഡാറ്റ ശാശ്വതമായി നീക്കം ചെയ്യുന്നതോ ഇല്ലാതാക്കുന്നതോ ആയ പ്രക്രിയയെ സൂചിപ്പിക്കുന്നു. സെൻസിറ്റീവ് ഡാറ്റ വീണ്ടെടുക്കാനാകാത്തവിധം നീക്കം ചെയ്യപ്പെടുന്നുണ്ടെന്നും അനധികൃത വ്യക്തികൾക്കോ ഡാറ്റ വീണ്ടെടുക്കൽ രീതികൾ വഴിയോ ആക്‌സസ് ചെയ്യാനോ വീണ്ടെടുക്കാനോ ആകസ്‌മികമായി തുറന്നുകാട്ടാനോ പുനർനിർമ്മിക്കാനോ കഴിയില്ലെന്നും ഈ പ്രക്രിയ ഉറപ്പാക്കുന്നു.
ഈ പ്രക്രിയ നടപ്പിലാക്കുന്നതിലൂടെ, ആക്രമണകാരികൾക്ക് സെൻസിറ്റീവ് ഡാറ്റ മോഷ്ടിക്കുന്നതിന് കേടുപാടുകൾ മുതലെടുക്കാൻ കഴിയുന്ന വിൻഡോ കുറയ്ക്കാൻ ഡവലപ്പർമാർക്ക് കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന സ്ഥിരമായ സംഭരണ സുരക്ഷാ സാങ്കേതിക വിദ്യകൾ ഉപയോഗിക്കണം:
· ആപ്പ് അവസാനിപ്പിക്കുമ്പോൾ സംഭരിച്ച കുക്കികൾ മായ്‌ക്കുക അല്ലെങ്കിൽ ഇൻ-മെമ്മറി കുക്കി സംഭരണം ഉപയോഗിക്കുക. · ആപ്പ് അൺഇൻസ്റ്റാളേഷനിലെ എല്ലാ സെൻസിറ്റീവ് ഡാറ്റയും നീക്കം ചെയ്യുക. · എല്ലാ ഡാറ്റാബേസും സ്വമേധയാ നീക്കം ചെയ്യുക fileസെൻസിറ്റീവ് ഡാറ്റ (ഉദാ, iOS WebView കാഷെകൾ) നിന്ന്
ദി file ബന്ധപ്പെട്ട ബിസിനസ് പ്രവർത്തനങ്ങൾ ഇല്ലാതാകുമ്പോൾ സിസ്റ്റം.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച രീതികൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ സാങ്കേതികവിദ്യകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, ആവശ്യമില്ലാത്തപ്പോൾ സെൻസിറ്റീവ് ഡാറ്റ ഇല്ലാതാക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡവലപ്പർമാർ അറിഞ്ഞിരിക്കണം.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
വ്യാപകമായി അംഗീകരിക്കപ്പെട്ട മാനദണ്ഡങ്ങളും പ്രസക്തമായ ഡാറ്റ നിലനിർത്തൽ നിയമവും പാലിക്കുന്നതിൽ ഡെവലപ്പർമാർ ശ്രദ്ധിക്കണം, എന്നാൽ ഇവയിൽ മാത്രം പരിമിതപ്പെടുത്തരുത്:
· വ്യക്തിഗത ഡാറ്റ സംരക്ഷണ നിയമം (PDPA) · ജനറൽ ഡാറ്റ പ്രൊട്ടക്ഷൻ റെഗുലേഷൻ (GDPR) · പേയ്മെൻ്റ് കാർഡ് ഇൻഡസ്ട്രി ഡാറ്റ സെക്യൂരിറ്റി സ്റ്റാൻഡേർഡ് (PCI DSS)
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 199, 206-214, 403-414.
· MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 39. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 07, 09-10.
35

4. ആൻ്റി ടിampഎറിംഗ് & ആൻ്റി റിവേഴ്‌സിംഗ്

ആമുഖം
ആന്റി-ടിampഎറിംഗ്, ആൻ്റി-റിവേഴ്‌സിംഗ് സുരക്ഷാ നിയന്ത്രണങ്ങൾ, ഇത് ചെയ്യാൻ ശ്രമിക്കുന്ന ആക്രമണങ്ങളെ പ്രതിരോധിക്കാൻ ഡവലപ്പർമാർക്ക് നടപ്പിലാക്കാൻ കഴിയുന്ന അധിക നടപടികളാണ്.ampഎർ അല്ലെങ്കിൽ റിവേഴ്സ് എഞ്ചിനീയർ ആപ്പുകൾ. രണ്ട് സവിശേഷതകളും നടപ്പിലാക്കുന്നതിലൂടെ, ഡെവലപ്പർമാർ ആപ്പുകളിലേക്ക് പ്രതിരോധത്തിൻ്റെ ഒന്നിലധികം പാളികൾ ചേർക്കുന്നു, ഇത് ക്ഷുദ്ര അഭിനേതാക്കൾക്ക് വിജയകരമായി ടി.ampഎർ അല്ലെങ്കിൽ റിവേഴ്‌സ് എഞ്ചിനീയർ ആപ്പുകൾ, ഇത് കാരണമാകാം:
· കുത്തക ആൽഗരിതങ്ങൾ, വ്യാപാര രഹസ്യങ്ങൾ, അല്ലെങ്കിൽ സെൻസിറ്റീവ് ഡാറ്റ തുടങ്ങിയ വിലപ്പെട്ട ബിസിനസ് അസറ്റുകളുടെ മോഷണം അല്ലെങ്കിൽ വിട്ടുവീഴ്ച,
· ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാടുകൾക്കായി ആപ്പ് ഉപയോഗിക്കുന്ന ഉപയോക്താക്കളുടെ സാമ്പത്തിക നഷ്ടം, · വരുമാന നഷ്ടം അല്ലെങ്കിൽ നിയമ നടപടി മൂലം സ്ഥാപനങ്ങളുടെ സാമ്പത്തിക നഷ്ടം, · നെഗറ്റീവ് പബ്ലിസിറ്റി അല്ലെങ്കിൽ ഉപഭോക്തൃ അതൃപ്തി കാരണം ബ്രാൻഡ് പ്രശസ്തിക്ക് ക്ഷതം

വിശ്വസനീയമായ പ്ലാറ്റ്‌ഫോമുകളിൽ ആപ്പുകൾ പ്രവർത്തിക്കുന്നുവെന്ന് നിയന്ത്രണങ്ങൾ ഉറപ്പാക്കുന്നു, ടിampപ്രവർത്തനസമയത്ത് പ്രവർത്തിക്കുകയും ആപ്പുകളുടെ പ്രവർത്തനങ്ങളുടെ സമഗ്രത ഉറപ്പാക്കുകയും ചെയ്യുന്നു. കൂടാതെ, ആപ്പുകൾ എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് മനസിലാക്കാൻ ആക്രമണകാരികൾക്ക് ബുദ്ധിമുട്ടുണ്ടാക്കുന്നതിലൂടെ നിയന്ത്രണങ്ങൾ മനസ്സിലാക്കുന്നതിന് തടസ്സം സൃഷ്ടിക്കുന്നു.
സുരക്ഷാ നിയന്ത്രണങ്ങൾ

നിയന്ത്രണം

RESILIENCE-BP01 ഔദ്യോഗിക ആപ്പ് സ്റ്റോറുകളിൽ നിന്നുള്ള സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് സൈൻ ചെയ്യുക.

RESILIENCE-BP02 ജയിൽ ബ്രേക്ക്/റൂട്ട് ഡിറ്റക്ഷൻ നടപ്പിലാക്കുക. RESILIENCE-BP03 എമുലേറ്റർ കണ്ടെത്തൽ നടപ്പിലാക്കുക.

RESILIENCE-BP04 മാൽവെയർ വിരുദ്ധ കണ്ടെത്തൽ നടപ്പിലാക്കുക.

RESILIENCE-BP05 ആൻ്റി-ഹുക്കിംഗ് മെക്കാനിസങ്ങൾ നടപ്പിലാക്കുക.

RESILIENCE-BP06 ഓവർലേ, റിമോട്ട് നടപ്പിലാക്കുക viewing, കൂടാതെ സ്ക്രീൻഷോട്ട് എതിർ നടപടികളും.

പ്രതിരോധം-BP07

മൂന്നാം കക്ഷി വെർച്വൽ കീബോർഡുകൾക്കെതിരെ ആൻ്റി-കീസ്ട്രോക്ക് ക്യാപ്ചറിംഗ് അല്ലെങ്കിൽ ആൻ്റി-കീലോഗർ നടപ്പിലാക്കുക.

പ്രതിരോധം-BP01
നിയന്ത്രണം
ഔദ്യോഗിക ആപ്പ് സ്റ്റോറുകളിൽ നിന്നുള്ള സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് ഒപ്പിട്ട കോഡ് ആപ്പ് ആണ്.
വിവരണം
ആപ്പുകൾ പലപ്പോഴും ക്ഷുദ്രകരമായ അഭിനേതാക്കൾ കബളിപ്പിക്കുകയും കർശനമായി നിയന്ത്രിക്കാത്ത ചാനലുകൾ വഴി വിതരണം ചെയ്യുകയും ചെയ്യുന്നു. ഔദ്യോഗിക ആപ്പ് സ്റ്റോറുകൾ നൽകുന്ന സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് ഒരു ആപ്പിൽ ഒപ്പിടുന്നത് മൊബൈൽ ആപ്പ് പരിശോധിച്ചുറപ്പിച്ച ഉറവിടത്തിൽ നിന്നുള്ളതാണെന്ന് മൊബൈൽ OS-നും ഉപയോക്താക്കൾക്കും ഉറപ്പ് നൽകുന്നു.
കോഡ് സൈനിംഗ് നടപ്പിലാക്കുന്നത്, കോഡിൽ ഒപ്പിടാൻ ഉപയോഗിക്കുന്ന സിഗ്നേച്ചറുകൾ അല്ലെങ്കിൽ സർട്ടിഫിക്കറ്റുകൾ അടിസ്ഥാനമാക്കി സോഫ്‌റ്റ്‌വെയർ പ്രവർത്തിപ്പിക്കാനോ ഇൻസ്റ്റാൾ ചെയ്യാനോ അനുവദിക്കണമോ എന്ന് നിർണ്ണയിക്കാൻ ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളെ സഹായിക്കുന്നു. ഹാനികരമായേക്കാവുന്ന ആപ്പുകളുടെ ഇൻസ്റ്റാളും നിർവ്വഹണവും തടയാൻ ഇത് സഹായിക്കുന്നു. കൂടാതെ, കോഡ് സൈനിംഗും സമഗ്രത പരിശോധിച്ചുറപ്പിക്കാൻ സഹായിക്കുന്നു, കാരണം ആപ്പ് ടി ആയിരുന്നാൽ ഒപ്പുകൾ മാറുംampകൂടെ ered.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ അവരുടെ ആപ്പുകളിൽ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് കോഡ് സൈൻ ചെയ്യണം. ഈ വിഭാഗം മുൻ നൽകുന്നുampഏറ്റവും ജനപ്രിയമായ രണ്ട് പ്ലാറ്റ്‌ഫോമുകളായ iOS, Android എന്നിവ വഴി ഇത് എങ്ങനെ ചെയ്യാമെന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ.
ആപ്പിളിൻ്റെ ആപ്പ് സ്റ്റോറിനായി, ആപ്പിൾ ഡെവലപ്പർ പ്രോഗ്രാമിൽ എൻറോൾ ചെയ്‌ത് ഡെവലപ്പർ പോർട്ടലിൽ ഒരു സർട്ടിഫിക്കറ്റ് സൈനിംഗ് അഭ്യർത്ഥന സൃഷ്ടിച്ചുകൊണ്ട് ഇത് ചെയ്യാൻ കഴിയും. ഡവലപ്പർമാർക്ക് ആപ്പിൾ ഡെവലപ്പർ പ്രോഗ്രാമിനായി രജിസ്റ്റർ ചെയ്യാനും ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾക്ക് കീഴിൽ കോഡ് സൈനിംഗിനായി ഇനിപ്പറയുന്ന ഡെവലപ്പർ ഗൈഡ് റഫറൻസ് ചെയ്യാനും കഴിയും.
ആൻഡ്രോയിഡിനായി, വിവിധ ആപ്പ് സ്റ്റോറുകൾ ഉണ്ട്. ഗൂഗിളിൻ്റെ പ്ലേ സ്‌റ്റോറിനായി, ഗൂഗിളിൻ്റെ പ്ലേ സ്റ്റോർ വഴിയുള്ള വിതരണത്തിന് ആവശ്യമായ പ്ലേ ആപ്പ് സൈനിംഗ് കോൺഫിഗർ ചെയ്‌ത് ഇത് ചെയ്യാൻ കഴിയും. അത് എങ്ങനെ ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, ഡവലപ്പർമാർക്ക് ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾക്ക് കീഴിൽ Android ഡെവലപ്പർ ഗൈഡ് സന്ദർശിക്കാവുന്നതാണ്.
മറ്റ് ഔദ്യോഗിക സ്റ്റോറുകൾക്കായി, ആപ്പ് സോഴ്‌സ് കോഡ് സൈനിംഗിൽ അവയുടെ ഡെവലപ്പർ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പരിശോധിക്കുക. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഔദ്യോഗിക ആപ്പ് സ്റ്റോറുകളിൽ ആപ്പുകൾ പ്രസിദ്ധീകരിക്കുന്നതിനും ഈ സുരക്ഷാ നിയന്ത്രണം ആവശ്യമാണ്, അതിനാൽ, ഔദ്യോഗിക ആപ്പ് സ്റ്റോറുകളിൽ നിന്നുള്ള സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് നിങ്ങളുടെ ആപ്പ് കോഡ് സൈൻ ചെയ്തിരിക്കണം എന്നതാണ് ശുപാർശ. ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· കോഡ് സൈനിംഗിനായുള്ള ആപ്പിൾ ഡെവലപ്പർ പ്രോഗ്രാം ഗൈഡ്, https://developer.apple.com/support/code-signing (Jan 2024).
· സ്വകാര്യതയെക്കുറിച്ചുള്ള Android ഡെവലപ്പർ ഗൈഡ്, https://developer.android.com/qualitty/privacy-andsecurity (Jan 2024).
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 325-326, 522523.
· ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 21.
38

പ്രതിരോധം-BP02
നിയന്ത്രണം
ആപ്പ് Jailbreak അല്ലെങ്കിൽ റൂട്ട് കണ്ടെത്തൽ നടപ്പിലാക്കുന്നു.
വിവരണം
വേരൂന്നിയതും ജയിൽ ബ്രോക്കൺ ചെയ്തതുമായ ഉപകരണങ്ങൾ പൊതുവെ സുരക്ഷിതമല്ലാത്തതായി കണക്കാക്കപ്പെടുന്നു. വേരൂന്നിയതോ ജയിൽ ബ്രോക്കൺ ചെയ്തതോ ആയ ഉപകരണങ്ങൾ ഉപയോക്താക്കൾക്ക് ഉയർന്ന പ്രത്യേകാവകാശങ്ങൾ നേടാൻ അനുവദിക്കുന്നു, ഇത് സുരക്ഷയും OS പരിമിതികളും എളുപ്പത്തിൽ മറികടക്കാൻ സഹായിക്കുന്നു. അപകടസാധ്യതകൾ ചൂഷണം ചെയ്യാനും യോഗ്യതാപത്രങ്ങൾ മോഷ്ടിക്കാനും ഉപയോക്തൃ ഉപകരണങ്ങൾ ഏറ്റെടുക്കാനും വഞ്ചനാപരമായ ആപ്പ് ഇടപാടുകൾ നടത്താനും ഈ പ്രത്യേകാവകാശങ്ങൾ ക്ഷുദ്ര അഭിനേതാക്കളെ അനുവദിക്കുന്നതിനാൽ അത്തരം ഉയർന്ന പ്രത്യേകാവകാശങ്ങൾ ആപ്പുകൾക്ക് സുരക്ഷിതമല്ല.
Jailbreak അല്ലെങ്കിൽ റൂട്ട് കണ്ടെത്തൽ നടപ്പിലാക്കുന്നതിലൂടെ, ഡെവലപ്പർമാർക്ക് മുകളിൽ പറഞ്ഞ ചൂഷണങ്ങൾ സംഭവിക്കുന്നത് തടയാനും ആപ്പുകളുടെ ബൗദ്ധിക സ്വത്ത് സംരക്ഷിക്കാനും ആപ്പുകളുടെ സ്ഥിരത ഉറപ്പാക്കാനും ഇൻ-ആപ്പ് സിസ്റ്റങ്ങളുടെ ബൈപാസ് തടയാനും കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ Android ഉപകരണങ്ങൾക്കായി അവരുടെ ആപ്പിൽ ഇനിപ്പറയുന്ന പരിശോധനകൾ നടപ്പിലാക്കി ജയിൽബ്രേക്ക് അല്ലെങ്കിൽ റൂട്ട് കണ്ടെത്തൽ നടപ്പിലാക്കണം:
1. സൂപ്പർ യൂസർ അല്ലെങ്കിൽ എസ് യു ബൈനറിക്കായി പരിശോധിക്കുക. 2. റൂട്ട് കണ്ടെത്തുക file സിസ്റ്റം മാറ്റങ്ങൾ. 3. റൂട്ട് ചെയ്ത ആപ്പുകൾക്കായി നോക്കുക. 4. ഇഷ്‌ടാനുസൃത വീണ്ടെടുക്കലിനായി പരിശോധിക്കുക. 5. സുരക്ഷിതമല്ലാത്ത API ഉപയോഗം പരിശോധിക്കുക.
ഡവലപ്പർമാർ iOS ഉപകരണങ്ങൾക്കായി അവരുടെ ആപ്പിൽ ഇനിപ്പറയുന്ന പരിശോധനകൾ നടപ്പിലാക്കി ജയിൽബ്രേക്ക് അല്ലെങ്കിൽ റൂട്ട് കണ്ടെത്തൽ നടപ്പിലാക്കണം:
1. നിയന്ത്രിത API-കളുടെ ഉപയോഗം കണ്ടെത്തുക. 2. മോഡുകൾ പോലെയുള്ള ജയിൽ ബ്രേക്ക് ട്വീക്കുകൾക്കായി നോക്കുക. 3. അനൗദ്യോഗിക ആപ്പ് സ്റ്റോറുകൾക്കായി നോക്കുക, ഉദാ, Cydia ആപ്പ് സ്റ്റോർ ഒപ്പ് പരിശോധിക്കുക. 4. കേർണൽ പരിഷ്ക്കരണങ്ങൾക്കായി നോക്കുക. 5. വിമർശനത്തിൻ്റെ സമഗ്രത പരിശോധിക്കുക file സംവിധാനങ്ങൾ. 6. ഉപകരണം t കണ്ടുപിടിക്കാൻ രൂപകൽപ്പന ചെയ്ത മൂന്നാം കക്ഷി ലൈബ്രറികൾ ഉപയോഗിക്കുകampഎറിംഗ്.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച പരിശീലന പരിശോധനകൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ പരിശോധനകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, ജയിൽബ്രേക്ക് അല്ലെങ്കിൽ റൂട്ട് കണ്ടെത്തൽ നടപ്പിലാക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡവലപ്പർമാർ അറിഞ്ഞിരിക്കണം.
39

ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 31. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 319-320, 5069,
518-519. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 50. · ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 11, 23.
9 https://github.com/crazykid95/Backup-Mobile-Security-Report/blob/master/Jailbreak-Root-DetectionEvasion-Study-on-iOS-and-Android.pdf
40

പ്രതിരോധം-BP03
നിയന്ത്രണം
അപ്ലിക്കേഷൻ എമുലേറ്റർ കണ്ടെത്തൽ നടപ്പിലാക്കുന്നു.
വിവരണം
വിവിധ തരത്തിലുള്ള മൊബൈൽ പതിപ്പുകളിലും ഉപകരണങ്ങളിലും മൊബൈൽ ആപ്പ് പരീക്ഷിക്കാൻ ഉപയോക്താവിനെ അനുവദിച്ചുകൊണ്ട് മൊബൈൽ ആപ്പുകൾ പരീക്ഷിക്കാൻ ഉപയോഗിക്കുന്ന സോഫ്‌റ്റ്‌വെയറാണ് എമുലേറ്ററുകൾ. ടെസ്റ്റിംഗിന് ഉപയോഗപ്രദമാണെങ്കിലും, വികസന പരിതസ്ഥിതിക്ക് പുറത്തുള്ള എമുലേറ്ററുകളിൽ ആപ്പുകൾ മൗണ്ട് ചെയ്യാൻ അനുവദിക്കരുത്.
എമുലേഷൻ കണ്ടെത്തൽ നടപ്പിലാക്കുന്നതിലൂടെ, ഡവലപ്പർമാർക്ക് അവർക്ക് നിയന്ത്രിക്കാൻ കഴിയുന്ന ഒരു എമുലേറ്റഡ് ഉപകരണത്തിൽ ഡൈനാമിക് വിശകലനം, റൂട്ടിംഗ്, ഡീബഗ്ഗിംഗ്, ഇൻസ്ട്രുമെൻ്റേഷൻ, ഹുക്കിംഗ്, ഫസ് ടെസ്റ്റിംഗ് എന്നിവ പ്രവർത്തിപ്പിക്കുന്നതിൽ നിന്ന് ക്ഷുദ്ര അഭിനേതാക്കളെ തടയാനാകും. അങ്ങനെ ചെയ്യുന്നതിലൂടെ, ചൂഷണത്തിനായി ആപ്പിനുള്ളിലെ കേടുപാടുകൾ കണ്ടെത്തുന്നതിൽ നിന്ന് ക്ഷുദ്ര അഭിനേതാക്കളെ തടയാൻ ഡവലപ്പർമാർക്ക് കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
സാധാരണയായി ഉപയോഗിക്കുന്ന എമുലേഷൻ സൊല്യൂഷനുകളുടെ സവിശേഷതകൾ തിരിച്ചറിയാൻ ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന കണ്ടെത്തൽ തന്ത്രം നടപ്പിലാക്കണം. പരിശോധിക്കേണ്ട കാര്യങ്ങളുടെ ചില ശുപാർശകൾ ഇവയാണ്:
· ബാറ്ററി ഉപയോഗം പരിശോധിക്കുക. · സമയം പരിശോധിക്കുകampകളും ക്ലോക്കുകളും. · മൾട്ടി-ടച്ച് പെരുമാറ്റങ്ങൾ പരിശോധിക്കുക. · മെമ്മറിയും പ്രകടന വിശകലനവും പരിശോധിക്കുക. · നെറ്റ്‌വർക്ക് പരിശോധനകൾ നടത്തുക. · ഇത് ഹാർഡ്‌വെയർ അധിഷ്ഠിതമാണോ എന്ന് പരിശോധിക്കുക. · OS എന്തിൻ്റെ അടിസ്ഥാനത്തിലാണെന്ന് പരിശോധിക്കുക. · ഉപകരണ വിരലടയാളങ്ങൾ പരിശോധിക്കുക. · ബിൽഡ് കോൺഫിഗറേഷനുകൾ പരിശോധിക്കുക. · എമുലേറ്റർ സേവനങ്ങളും ആപ്പുകളും പരിശോധിക്കുക.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച പരിശീലന പരിശോധനകൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ പരിശോധനകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, എമുലേറ്റർ കണ്ടെത്തൽ നടപ്പിലാക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡവലപ്പർമാർ അറിഞ്ഞിരിക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 31-32. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 325, 521.
41

പ്രതിരോധം-BP04
നിയന്ത്രണം
ആപ്പ് മാൽവെയർ വിരുദ്ധ കണ്ടെത്തൽ നടപ്പിലാക്കുന്നു.
വിവരണം
ഉപയോക്താക്കൾക്ക് ദൈനംദിന ഇടപാടുകൾ നടത്തുന്നതിന് ആവശ്യമായ സൗകര്യം ഉപയോക്താക്കൾക്ക് നൽകുന്നതിനാൽ ഉപയോക്താക്കളുടെ മൊബൈൽ ഉപകരണങ്ങളിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നതിനുള്ള ഒരു വെക്‌ടറായി ക്ഷുദ്രകരമായ അഭിനേതാക്കൾ ക്ഷുദ്രവെയർ ആപ്പുകൾ കൂടുതലായി ഉപയോഗിക്കുന്നു. ഉപയോക്താക്കൾക്ക് അവരുടെ ഉപകരണങ്ങളിൽ ക്ഷുദ്രവെയർ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനായി ക്ഷുദ്രവെയർ ആപ്പുകൾ പ്രാഥമികമായി സൈഡ്‌ലോഡിംഗ് ഫീച്ചറുകൾ ഒരു ചാനലായി ഉപയോഗിക്കുന്നു.
റൺടൈമിൽ ഒരു ആപ്പിൽ ആൻ്റി-മാൽവെയർ കണ്ടെത്തൽ കഴിവുകൾ നടപ്പിലാക്കുന്നതിലൂടെ, ഡെവലപ്പർമാർക്ക് ആപ്പ് കേടുപാടുകൾ, OS കേടുപാടുകൾ, ക്രെഡൻഷ്യലുകൾ മോഷ്ടിക്കൽ, ഉപകരണം ഏറ്റെടുക്കൽ, വഞ്ചനാപരമായ ഇടപാടുകൾ എന്നിവയിലൂടെ മാൽവെയർ വഴി ഉപയോക്താക്കളെ ചൂഷണം ചെയ്യുന്നത് തടയാൻ കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ അവരുടെ ആപ്പുകളിൽ ആൻ്റി-മാൽവെയർ കണ്ടെത്തൽ കഴിവുകൾ നടപ്പിലാക്കണം. ഇത് വിവിധ രീതികളിൽ ചെയ്യാം, എന്നാൽ ഇവയിൽ മാത്രം പരിമിതപ്പെടുന്നില്ല:
· ഒരു റൺടൈം-അപ്ലിക്കേഷൻ-സെൽഫ് പ്രൊട്ടക്ഷൻ (RASP) സോഫ്റ്റ്‌വെയർ ഡെവലപ്‌മെൻ്റ് കിറ്റ് (SDK) അവരുടെ ആപ്പുകളിൽ ഉൾപ്പെടുത്തുക.
റൺടൈമിൽ ക്ഷുദ്രവെയർ ആപ്പുകൾ പരിശോധിക്കുന്നതിനും കണ്ടെത്തുന്നതിനും RASP SDK-കൾ ഉപയോഗിക്കുക. · ഓവർലേകൾ പരിശോധിക്കുകയും തടയുകയും ചെയ്യുക. · ക്ലിക്ക്ജാക്കിംഗ് തടയുക. · ആപ്പ് മെമ്മറി ഹുക്കിംഗ് തടയുക.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച പരിശീലന പരിശോധനകൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ പരിശോധനകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, ക്ഷുദ്രവെയർ വിരുദ്ധ കണ്ടെത്തൽ നടപ്പിലാക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡവലപ്പർമാർ അറിഞ്ഞിരിക്കണം.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
ഏതെങ്കിലും തരത്തിലുള്ള ക്ഷുദ്രത കണ്ടെത്തിയാൽ, ഡവലപ്പർമാർ ആപ്പ് പ്രവർത്തനരഹിതമാക്കുകയും ആപ്പ് പ്രവർത്തനരഹിതമാക്കിയത് എന്തുകൊണ്ടാണെന്ന് ആവശ്യമായ വിവരങ്ങൾ ഉപയോക്താവിന് നൽകുകയും അവരുടെ ഉപകരണത്തിൽ ക്ഷുദ്രകരമായ ആപ്പ്(കൾ) അൺഇൻസ്റ്റാൾ ചെയ്യാൻ ഉപയോക്താവിനെ പ്രേരിപ്പിക്കുകയും വേണം.
പകരമായി, ഡവലപ്പർമാർ ഉപയോക്താവിന് മുന്നറിയിപ്പ് നൽകണം, കൂടാതെ ഉപയോക്താവ് ക്ഷുദ്രകരമായ ആപ്പ്(കൾ) പരിഹരിക്കുന്നത് വരെ ആപ്പിലെ ഉയർന്ന അപകടസാധ്യതയുള്ള പ്രവർത്തനങ്ങൾ പ്രവർത്തനരഹിതമാക്കണം. ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 31. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 40, 49. · ENISA സ്മാർട്ട്‌ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 23.
42

പ്രതിരോധം-BP05
നിയന്ത്രണം
ആപ്ലിക്കേഷൻ ആൻ്റി-ഹുക്കിംഗ് മെക്കാനിസങ്ങൾ നടപ്പിലാക്കുന്നു.
വിവരണം
റൺടൈമിൽ ഒരു മൊബൈൽ ആപ്പിൻ്റെ പെരുമാറ്റം തടസ്സപ്പെടുത്തുന്നതിനോ പരിഷ്ക്കരിക്കുന്നതിനോ ആക്രമണകാരികൾ ഉപയോഗിക്കുന്ന ഒരു സാങ്കേതികതയെ ഹുക്കിംഗ് സൂചിപ്പിക്കുന്നു. ഒരു ആപ്പിൻ്റെ പ്രവർത്തനങ്ങൾ നിരീക്ഷിക്കുന്നതിനോ അതിൻ്റെ സ്വഭാവത്തിൽ മാറ്റം വരുത്തുന്നതിനോ ക്ഷുദ്രകരമായ കോഡ് കുത്തിവയ്ക്കുന്നതിനോ നിലവിലുള്ള കോഡ് ഫംഗ്‌ഷനുകൾ പരിഷ്‌ക്കരിക്കുന്നതിനോ കേടുപാടുകൾ മുതലെടുക്കുന്നതിനോ ആപ്പിൻ്റെ എക്‌സിക്യൂഷൻ ഫ്ലോയിലേക്ക് തിരുകുന്നത് അല്ലെങ്കിൽ ഹുക്ക് ചെയ്യുന്നത് ഇതിൽ ഉൾപ്പെടുന്നു.
ആപ്പുകളിൽ ആൻ്റി-ഹുക്കിംഗ് മെക്കാനിസങ്ങൾ നടപ്പിലാക്കുന്നതിലൂടെ, ഡെവലപ്പർമാർക്ക് മുകളിലുള്ള ആക്രമണങ്ങൾ സംഭവിക്കുന്നത് തടയാനും അനധികൃത ആക്സസ് തടയാനും ഉയർന്ന അപകടസാധ്യതയുള്ള ഇടപാട് പ്രവർത്തനങ്ങൾ സംരക്ഷിക്കാനും ടി.ampതിരുത്തൽ ശ്രമങ്ങൾ, ബൗദ്ധിക സ്വത്ത് സംരക്ഷിക്കുക, ആപ്പ് വിശ്വാസ്യത നിലനിർത്തുക.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ ഇനിപ്പറയുന്നവ നടപ്പിലാക്കണംampഹുക്കിംഗ് ആക്രമണങ്ങളെ ലഘൂകരിക്കാനുള്ള സംവിധാനങ്ങൾ:
· കോഡ് കുത്തിവയ്പ്പുകൾ തടയുന്നതിനുള്ള പരിരക്ഷകൾ നടപ്പിലാക്കുക. · ആപ്പിലെ പരിഷ്‌ക്കരണങ്ങൾ തടയുന്നതിലൂടെ രീതി ഹുക്കിംഗ് തടയുന്നതിന് പരിരക്ഷകൾ നടപ്പിലാക്കുക
സോഴ്സ് കോഡ് (ക്ലയൻ്റിലും സെർവറിലും). · നിങ്ങളുടെ ആപ്പിൽ പരിഷ്കരിച്ച കോഡുകൾ നടപ്പിലാക്കുന്നത് തടയാൻ പരിരക്ഷകൾ നടപ്പിലാക്കുക. · നിങ്ങളുടെ ആപ്പിന് മെമ്മറി ആക്‌സസും മെമ്മറി കൃത്രിമത്വവും തടയാൻ പരിരക്ഷകൾ നടപ്പിലാക്കുക. · ടി നടപ്പിലാക്കുകampഎർ റെസിസ്റ്റൻ്റ് അൽഗോരിതങ്ങൾ അല്ലെങ്കിൽ ആൻ്റി ടിampഎറിംഗ് SDK-കൾ (സാധാരണയായി അറിയപ്പെടുന്നത്
റൺടൈം-അപ്ലിക്കേഷൻ-സെൽഫ് പ്രൊട്ടക്ഷൻ SDK-കൾ). · കാലഹരണപ്പെട്ട API-കളും പാരാമീറ്ററുകളും പോലുള്ള സുരക്ഷിതമല്ലാത്ത പാരാമീറ്ററുകൾക്കായി പരിശോധിക്കുക.
മുകളിൽ പറഞ്ഞവ ചില മുൻഭാഗങ്ങൾ മാത്രംampവ്യവസായം ഉപയോഗിക്കുന്ന മികച്ച പരിശീലന പരിശോധനകൾ. മൊബൈൽ ഉപകരണങ്ങളുടെ ആവാസവ്യവസ്ഥ വികസിക്കുമ്പോൾ, ഈ പരിശോധനകൾ കാലഹരണപ്പെട്ടേക്കാം. അതുപോലെ, ആൻ്റി-ഹുക്കിംഗ് മെക്കാനിസങ്ങൾ നടപ്പിലാക്കുന്നതിനുള്ള ഏറ്റവും പുതിയ വ്യവസായ മികച്ച രീതികൾ ഡവലപ്പർമാർ അറിഞ്ഞിരിക്കണം. ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 31. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 135-140, 189,
318-319, 339-340, 390, 520. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 56. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 23, 26.
43

പ്രതിരോധം-BP06
നിയന്ത്രണം
ആപ്പ് ഓവർലേ, റിമോട്ട് എന്നിവ നടപ്പിലാക്കുന്നു viewing, കൂടാതെ സ്ക്രീൻഷോട്ട് എതിർ നടപടികളും.
വിവരണം
ഒരു ആപ്പിന് സ്‌ക്രീൻ റെക്കോർഡിംഗോ സ്‌ക്രീൻഷോട്ടോ ഓവർലേ പ്രവർത്തനങ്ങളോ ഉള്ളപ്പോൾ ഉപയോക്താവിൻ്റെ വ്യക്തമായ സമ്മതമില്ലാതെ സെൻസിറ്റീവ് വിവരങ്ങൾ ക്യാപ്‌ചർ ചെയ്യാനോ റെക്കോർഡ് ചെയ്യാനോ കഴിയും. ഉദാampLe:
· ഓവർലേ ആക്രമണങ്ങൾ, സെൻസിറ്റീവ് ഡാറ്റ മോഷ്ടിക്കാൻ ലക്ഷ്യമിട്ട്, വിശ്വസനീയമായ ആപ്പുകളെ അനുകരിക്കുന്ന ഒരു വ്യാജ ലെയർ സൃഷ്ടിച്ച് ഉപയോക്താക്കളെ കബളിപ്പിക്കുന്നു.
· റിമോട്ട് viewing ആക്രമണങ്ങളിൽ ഒരു ഉപകരണത്തിൻ്റെ സ്‌ക്രീനിലേക്കുള്ള അനധികൃത ആക്‌സസ് ഉൾപ്പെടുന്നു, ഇത് ആക്രമണകാരികളെ സെൻസിറ്റീവ് ഡാറ്റ വിദൂരമായി ശേഖരിക്കാൻ അനുവദിക്കുന്നു.
· ക്ഷുദ്രകരമായ അഭിനേതാക്കൾ ഉപയോക്തൃ സമ്മതമില്ലാതെ ഒരു ഉപകരണത്തിൻ്റെ സ്‌ക്രീൻ പിടിച്ചെടുക്കുകയും സെൻസിറ്റീവ് ഡാറ്റ എക്‌സ്‌ട്രാക്‌റ്റുചെയ്യുകയും ചെയ്യുമ്പോൾ സ്‌ക്രീൻഷോട്ട് ആക്രമണങ്ങൾ സംഭവിക്കുന്നു.
ഓവർലേ, റിമോട്ട് നടപ്പിലാക്കുന്നു viewing, സ്‌ക്രീൻഷോട്ട് കൗണ്ടർ മെഷറുകൾ എന്നിവയ്ക്ക് സെൻസിറ്റീവ് വിവരങ്ങൾ സുരക്ഷിതമായി തുടരുന്നുവെന്നും ഉപയോക്തൃ സ്വകാര്യത ഉയർത്തിപ്പിടിക്കുന്നുവെന്നും സെൻസിറ്റീവ് ഡാറ്റ അശ്രദ്ധമായ നഷ്‌ടത്തിൽ നിന്നോ ദുരുപയോഗത്തിൽ നിന്നോ സംരക്ഷിക്കപ്പെടുന്നുവെന്നും ഉറപ്പാക്കാൻ കഴിയും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
ഡെവലപ്പർമാർ ആൻ്റി ടി നടപ്പിലാക്കണംampക്ഷുദ്ര ആപ്പുകൾ ഓവർലേകളും റിമോട്ടും ഉപയോഗിക്കുന്നതിൽ നിന്ന് തടയാൻ RASP SDK-കൾ വഴി ering, ആൻ്റി-മാൽവെയർ പരിശോധനകൾ viewചൂഷണം ചെയ്യുന്നു.
സ്‌ക്രീൻഷോട്ടുകൾക്കായി, ഡെവലപ്പർമാർക്ക് Android ആപ്പുകൾക്കായി FLAG_SECURE ഫ്ലാഗും ആപ്പ് ഉപയോഗിക്കുമ്പോൾ എല്ലാ സ്‌ക്രീൻഷോട്ട് കഴിവുകളും തടയുന്നതിന് iOS-ന് സമാനമായ ഫ്ലാഗുകളും ഉപയോഗിക്കാനാകും. എന്നിരുന്നാലും, ബിസിനസ് ഫംഗ്‌ഷനുകൾക്ക് സ്‌ക്രീൻഷോട്ട് കഴിവുകൾ ആവശ്യമാണെന്ന് കരുതുക (ഉദാഹരണത്തിന്, പൂർത്തിയായ PayNow ഇടപാടിൻ്റെ സ്‌ക്രീൻഷോട്ട് എടുക്കൽ). അങ്ങനെയെങ്കിൽ, സെൻസിറ്റീവ് ഡാറ്റ (PII, ഓതൻ്റിക്കേഷൻ ഡാറ്റ) ഉൾപ്പെടുന്ന സ്‌ക്രീനുകൾക്കോ പേജുകൾക്കോ വേണ്ടിയുള്ള സ്‌ക്രീൻഷോട്ട് കഴിവുകൾ പ്രവർത്തനരഹിതമാക്കാനാണ് ശുപാർശ.
ആപ്പ് പശ്ചാത്തലമാക്കിയിരിക്കുമ്പോൾ സെൻസിറ്റീവ് ഡാറ്റയും സെൻസർ സ്‌ക്രീനുകളും ഉപയോഗിച്ച് മാസ്‌കിംഗ് ഇൻപുട്ടും ഡെവലപ്പർമാർക്ക് പരിഗണിക്കാം.
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ
ചില മുൻampഎവിടെയാണ് ഈ സ്ക്രീൻഷോട്ട് പ്രവർത്തനരഹിതമാക്കേണ്ടത് എന്നതിൽ ഉൾപ്പെടുന്നു എന്നാൽ ഇവയിൽ മാത്രം പരിമിതപ്പെടുന്നില്ല: ലോഗിൻ പേജുകൾ, മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ പേജുകൾ, സെക്യൂരിറ്റി ക്രെഡൻഷ്യലുകൾ, PII മാറ്റുന്ന പേജുകൾ തുടങ്ങിയവ.
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 31. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 166-168, 257,
259, 265-267, 366, 480-481. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 56. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 8.
44

പ്രതിരോധം-BP07
നിയന്ത്രണം
മൂന്നാം കക്ഷി വെർച്വൽ കീബോർഡുകൾക്കെതിരെ ആപ്പ് ആൻ്റി-കീസ്ട്രോക്ക് ക്യാപ്ചറിംഗ് അല്ലെങ്കിൽ ആൻ്റി-കീലോഗർ നടപ്പിലാക്കുന്നു.
വിവരണം
ഉപയോക്താവിൻ്റെ അറിവോ സമ്മതമോ കൂടാതെ കീബോർഡിൽ അമർത്തിപ്പിടിച്ച കീകൾ നിരീക്ഷിക്കാനും ലോഗ് ചെയ്യാനും റെക്കോർഡ് ചെയ്യാനും ക്ഷുദ്ര അഭിനേതാക്കൾ ഉപയോഗിക്കുന്ന രീതികളാണ് കീസ്ട്രോക്ക് ക്യാപ്ചറിംഗും കീലോഗിംഗും. ഇത് സെൻസിറ്റീവ് ഡാറ്റ (അതായത് PII, പ്രാമാണീകരണ ഡാറ്റ) ലോഗ് ചെയ്യാനും ക്യാപ്‌ചർ ചെയ്യാനും അനുവദിക്കുന്നു.
കീസ്‌ട്രോക്കും കീലോഗിംഗ് കൗണ്ടർ മെഷറുകളും നടപ്പിലാക്കുന്നതിലൂടെ, ഡെവലപ്പർമാർക്ക് സെൻസിറ്റീവ് ഡാറ്റയുടെ അനാവശ്യ നഷ്ടം തടയാൻ കഴിയും. കൂടുതൽ വ്യക്തമായി പറഞ്ഞാൽ, Android ഉപകരണങ്ങളുടെ നേറ്റീവ് കീബോർഡ് മാറ്റാൻ കഴിയുന്നതിനാൽ, ഈ നിയന്ത്രണം Android ഉപകരണങ്ങളെ ലക്ഷ്യമിടുന്നു. കീബോർഡ് ഇൻപുട്ടുകളും ആപ്പുകളും തമ്മിലുള്ള വിശ്വസനീയമായ പാതയിൽ വിശ്വസനീയമല്ലാത്ത കക്ഷികൾ ഉള്ളതിനാൽ അത്തരം മാറ്റങ്ങൾ ആപ്പുകളെ സുരക്ഷാ കേടുപാടുകൾക്ക് വിധേയമാക്കും.
നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം
സെൻസിറ്റീവ് ഡാറ്റ അടങ്ങിയേക്കാവുന്ന ഇൻപുട്ടുകൾക്ക് സുരക്ഷിതമല്ലാത്ത മൂന്നാം-കക്ഷി വെർച്വൽ കീബോർഡുകൾ ഉപയോഗിക്കാൻ ഡെവലപ്പർമാർ അനുവദിക്കരുത്. അത്തരം ഇൻപുട്ടുകൾക്കായി സുരക്ഷിത ഇൻ-ആപ്പ് ഇഷ്‌ടാനുസൃത കീബോർഡ് തിരഞ്ഞെടുക്കുന്നതാണ്.
ഒരു ഇൻ-ആപ്പ് കീബോർഡ് നടപ്പിലാക്കുന്നതിലൂടെ, ഡവലപ്പർമാർക്ക് ലോഗിംഗ് ഡാറ്റ എവിടേക്കാണ് പോകുന്നതെന്ന് നിയന്ത്രിക്കാനും കീസ്ട്രോക്കുകൾ ക്യാപ്‌ചർ ചെയ്യുന്നതിനുള്ള കീലോഗർമാരായി പ്രവർത്തിക്കുന്ന സുരക്ഷിതമല്ലാത്ത മൂന്നാം-കക്ഷി വെർച്വൽ കീബോർഡുകളുടെ അപകടസാധ്യത ലഘൂകരിക്കാനും കഴിയും.
ഇൻ-ആപ്പ് കീബോർഡുകൾ ഉപയോഗിക്കുന്നതിനൊപ്പം, സെൻസിറ്റീവ് ഡാറ്റ ആവശ്യമുള്ള ഇൻപുട്ടുകൾക്കായി ഡെവലപ്പർമാർ ഇനിപ്പറയുന്ന നിർദ്ദേശങ്ങൾ നടപ്പിലാക്കണം (അതായത് PII, പ്രാമാണീകരണ ഡാറ്റ): സ്വയമേവ തിരുത്തൽ, സ്വയമേവ പൂരിപ്പിക്കൽ, സ്വയമേവയുള്ള നിർദ്ദേശം, കട്ട്, കോപ്പി, പേസ്റ്റ് എന്നിവ പ്രവർത്തനരഹിതമാക്കുക, അല്ലെങ്കിൽ സെൻസിറ്റീവ് ഡാറ്റ അടങ്ങിയിരിക്കുന്ന ആപ്പുകൾ .
ശ്രദ്ധിക്കേണ്ട കാര്യങ്ങൾ ചില മുൻampഇൻ-ആപ്പ് കീബോർഡുകൾ ഉപയോഗിക്കേണ്ട ഫംഗ്‌ഷനുകളിൽ ഉൾപ്പെടുന്നു, എന്നാൽ ലോഗിൻ ചെയ്യുക, OTP നൽകുക, അല്ലെങ്കിൽ മറ്റ് സ്ഥിരീകരണ ഘടകങ്ങൾ എന്നിവയിൽ മാത്രം പരിമിതപ്പെടുത്തരുത്.
ഈ സുരക്ഷാ നിയന്ത്രണവും മികച്ച പരിശീലനവും പ്രാഥമികമായി Android ഉപകരണങ്ങളെ ലക്ഷ്യമിടുന്നു. വിശ്വസനീയമായ പാതയുടെ സുരക്ഷ ഉറപ്പാക്കുക എന്നതാണ് പ്രധാന ലക്ഷ്യം. നേറ്റീവ്/ട്രസ്റ്റഡ് കീബോർഡുകളുടെ ഉപയോഗം നടപ്പിലാക്കുന്നതിനുള്ള ഒരു രീതി Android നൽകുന്നില്ല എന്നതിനാൽ, സുരക്ഷിതമല്ലാത്ത മൂന്നാം കക്ഷി വെർച്വൽ കീബോർഡുകൾ വിവരങ്ങൾ ലോഗ് ചെയ്യുന്നില്ലെന്ന് ഉറപ്പാക്കാൻ ഡെവലപ്പർമാർ ഇൻ-ആപ്പ് കീബോർഡ് നടപ്പിലാക്കണം.
സുരക്ഷിതമായ ഇൻ-ആപ്പ് കീബോർഡ് നടപ്പിലാക്കുന്നത്, അപഹരിക്കപ്പെട്ട ഉപകരണവുമായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ ലഘൂകരിക്കുന്നില്ല.
ഈ സുരക്ഷാ നിയന്ത്രണം മറ്റ് മാനദണ്ഡങ്ങളിൽ പരാമർശിച്ചിരിക്കുന്നു. ഇതിൽ നൽകിയിരിക്കുന്ന ഡോക്യുമെൻ്റേഷൻ(കൾ) പരിശോധിക്കുക:
· OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 (2023), പേജ്. 31. · OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 (2023), പേജ്. 203, 214-215,
257, 259, 400, 414-415. · MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2021), പേജ്. 56. · ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിത വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ (2016), പേജ്. 08, 23.
45

റഫറൻസുകൾ

എസ്/എൻ 1
2
3
4
5
6 7

ഡോക്യുമെൻ്റ് OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെരിഫിക്കേഷൻ സ്റ്റാൻഡേർഡ് (MASVS) v2.0.0 OWASP മൊബൈൽ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗ് ഗൈഡ് (MASTG) v1.7.0 MAS ടെക്നോളജി റിസ്ക് മാനേജ്മെൻ്റ് മാർഗ്ഗനിർദ്ദേശങ്ങൾ, പിസിഐ മൊബൈൽ പേയ്മെൻ്റ് സ്വീകാര്യത സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ v2.0.0 ENISA സ്മാർട്ട്ഫോൺ സുരക്ഷിതമായ ആൻഡ്രോയിഡ് ഡെവലപ്മെൻ്റ് ഗൈഡ് ഡെവലപ്മെൻ്റ് ഡെവലപ്മെൻ്റ് ഗൈഡ്

ഉറവിടം OWASP
OWASP
MAS
പിസിഐ-ഡിഎസ്എസ്
എനിസ
ആൻഡ്രോയിഡ് ആപ്പിൾ

തീയതി 2023
2023
2021
2017
2016
2024 2024

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

CSA സേഫ് സ്റ്റാൻഡേർഡ് ആപ്പ് [pdf] ഉപയോക്തൃ ഗൈഡ്
സേഫ് സ്റ്റാൻഡേർഡ് ആപ്പ്, സേഫ് സ്റ്റാൻഡേർഡ്, ആപ്പ്

റഫറൻസുകൾ

ഉപയോക്തൃ മാനുവൽ

ബന്ധപ്പെട്ട പോസ്റ്റുകൾ

SDC സെക്യൂരിറ്റി ഡോർ APP നിർദ്ദേശങ്ങൾ നിയന്ത്രിക്കുന്നു
SDC സെക്യൂരിറ്റി ഡോർ APP SDC സ്മാർട്ട്ഫോൺ ആപ്പ് നിയന്ത്രിക്കുന്നു ഉൽപ്പന്ന വിവരം വേഗത്തിലും എളുപ്പത്തിലും കണ്ടെത്തുക View ഉൽപ്പന്നങ്ങളുടെ വീഡിയോകൾ...

SIZZAPP സ്മാർട്ട് സെക്യൂരിറ്റി സിസ്റ്റം ആപ്പ് ഉപയോക്തൃ ഗൈഡ്
സ്‌മാർട്ട് സെക്യൂരിറ്റി സിസ്റ്റം ആപ്പ് http://l.ead.me/sizzapp_app ഉപയോക്തൃ ഗൈഡ് SIZZAPP APP മാനുവൽ SIZZAPP സ്‌മാർട്ട് സുരക്ഷാ സംവിധാനവും വിശ്വസനീയമായ യാത്രയുമാണ്…
TOPKODAS സെക്യൂരിറ്റി ആക്സസ് കൺട്രോൾ ഫ്രീ ആപ്പ് യൂസർ ഗൈഡ്
TOPKODAS സെക്യൂരിറ്റി ആക്‌സസ് കൺട്രോൾ ഫ്രീ ആപ്പ് ഉള്ള സൗജന്യ ആപ്പ് സെല്ലുലാർ കൺട്രോളർ സമയം ലാഭിക്കാനും നിങ്ങളെ പ്രാപ്തമാക്കാനും സഹായിക്കുന്നു...
ഡോമിനർ ആപ്പ് ഉപയോക്തൃ ഗൈഡ്
Dominator ആപ്പ് അപ്‌ഡേറ്റ് ചെയ്‌ത DOMINATOR ആപ്പ് ഡാഷ്‌ബോർഡ് - ഓപ്പണർ ഇൻ്റർഫേസ് ഡാഷ്‌ബോർഡ് - ഗേറ്റ് ഇൻ്റർഫേസ് ഡാഷ്‌ബോർഡ് - ക്യാമറ ഇൻ്റർഫേസ് ക്രമീകരണങ്ങൾ...

സുരക്ഷിത സ്റ്റാൻഡേർഡ് ആപ്പ്

ഉൽപ്പന്ന വിവരം

സ്പെസിഫിക്കേഷനുകൾ

സ്റ്റാൻഡേർഡിനെ കുറിച്ച്

ഉദ്ദേശ്യം, വ്യാപ്തി, ഉദ്ദേശിച്ച പ്രേക്ഷകർ

അറിയിപ്പും ഡെവലപ്പർ മാർഗ്ഗനിർദ്ദേശവും

ഡോക്യുമെൻ്റ് നിർവചനങ്ങളും സാധാരണ റഫറൻസുകളും

ഉൽപ്പന്ന ഉപയോഗ നിർദ്ദേശങ്ങൾ

പ്രാമാണീകരണം

സുരക്ഷാ നിയന്ത്രണങ്ങൾ

AUTHN-BP01 - മൾട്ടി-ഫാക്ടർ ഓതൻ്റിക്കേഷൻ (MFA)

നടപ്പാക്കൽ മാർഗ്ഗനിർദ്ദേശം

പതിവ് ചോദ്യങ്ങൾ (FAQ)

ചോദ്യം: CSA-യുടെ സുരക്ഷിത ആപ്പ് സ്റ്റാൻഡേർഡിൻ്റെ ഉദ്ദേശ്യം എന്താണ്?

ചോദ്യം: CSA-യുടെ സുരക്ഷിത ആപ്പിനായി ഉദ്ദേശിക്കുന്ന പ്രേക്ഷകർ ആരാണ് സ്റ്റാൻഡേർഡ്?

ചോദ്യം: മൾട്ടി ഫാക്ടർ നടപ്പിലാക്കുന്നതിൻ്റെ പ്രയോജനങ്ങൾ എന്തൊക്കെയാണ് പ്രാമാണീകരണം (MFA)?

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

റഫറൻസുകൾ

ബന്ധപ്പെട്ട പോസ്റ്റുകൾ

ഒരു അഭിപ്രായം ഇടൂ

മറുപടി റദ്ദാക്കുക

ചോദ്യം: CSA-യുടെ സുരക്ഷിത ആപ്പിനായി ഉദ്ദേശിക്കുന്ന പ്രേക്ഷകർ ആരാണ്
സ്റ്റാൻഡേർഡ്?

ചോദ്യം: മൾട്ടി ഫാക്ടർ നടപ്പിലാക്കുന്നതിൻ്റെ പ്രയോജനങ്ങൾ എന്തൊക്കെയാണ്
പ്രാമാണീകരണം (MFA)?