breadcrumbDescription
Indstillinger og politikker for push-advisering for mobil: Mobile Push-sikkerhed
Kontrolen etablerer en sikker arkitektur til at sende uden for bånd-advarsler til mobilenheder ved at styre indhold, kryptering og leveringsprotokoller, der bruges af adviseringstjenester.
Kontrolnavn
Eksterne klientapps: Indstillinger og politikker for push-advisering for mobil: Mobile Push-sikkerhed
Anbefalet konfiguration
Opsæt adviseringer med push for mobilappen.
Kontroller oversigt
Kontrolen etablerer en sikker arkitektur til at sende uden for bånd-advarsler til mobilenheder ved at styre indhold, kryptering og leveringsprotokoller, der bruges af adviseringstjenester.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Fraværet af en defineret push-adviseringspolitik øger sandsynligheden for følsom datalækage gennem klartekst-data, der vises på låste enhedsskærme eller opfanges via usikre leveringskanaler.
Trusselscenarier
En uautoriseret person kan se følsomme transaktionsdetaljer eller godkendelseskoder med flere faktorer direkte fra enhedens låseskærm uden at kræve fysisk godkendelse af håndtaget.
Estimeret CVSS-scoringsinterval
Høj (7,0-8,9).
Overvejelser i forbindelse med risikopåvirkning
Hvis du ikke sikrer adviseringsindhold, kan det resultere i et brud på fortroligheden af følsomme oplysninger, hvilket potentielt kan føre til identitetstyveri, kontoovertagelse eller manglende overholdelse af bestemmelser om datafortrolighed.
Højere risiko når
Risikoniveauer øges, når adviseringsdata inkluderer personligt identificerbare oplysninger, eller når applikationen ikke maskerer eksempelvisninger af meddelelser, mens enheden forbliver i en låst tilstand.
Lav risiko når
Risikoen reduceres, hvis applikationen kun sender generiske pins, der kræver, at brugeren godkendes i appen for at se det faktiske følsomme indhold, eller hvis end-to-end-kryptering anvendes på dataene.
Overvejelser i forbindelse med forretning og integration
Etablering af disse politikker kræver koordinering mellem backendservere og mobiloperativsystem-API'er, hvilket kan påvirke brugerengagementmetrikker og rettidigheden af kritiske advarsler.
Anbefalet rettelse
Implementer en politik, der begrænser følsomme data i push-data, og konfigurer applikationen til at bruge generiske pladsholdere til adviseringer, der vises på låseskærmen på systemniveau.
Vejledning til sikkerhedstilstandsgennemgang
Overhold sikre meddelelsesprincipper ved at gøre push-adviseringer kun til en signaleringsmekanisme snarere end en primær transport for følsomme data eller kryptografiske hemmeligheder.
