Olet tässä:
Työntöilmoitusten asetukset ja käytännöt mobiililaitteille: Mobiilityöntöjen työntösuojaus
Ohjain luo turvallisen arkkitehtuurin kaistan ulkopuolisten hälytysten lähettämiseksi mobiililaitteille hallitsemalla ilmoituspalveluiden käyttämää sisältöä, salausta ja toimitusprotokollia.
Ohjaimen nimi
Ulkoiset asiakassovellukset: Työntöilmoitusten asetukset ja käytännöt mobiililaitteille: Mobiilityöntöjen työntösuojaus
Suositeltu kokoonpano
Määritä työntöilmoitukset mobiilisovellukselle.
Ohjauksen yleiskatsaus
Ohjain luo turvallisen arkkitehtuurin kaistan ulkopuolisten hälytysten lähettämiseksi mobiililaitteille hallitsemalla ilmoituspalveluiden käyttämää sisältöä, salausta ja toimitusprotokollia.
Tietoturvariski, jos ei määritetty
Määritetyn työntöilmoituskäytännön puuttuminen lisää luottamuksellisten tietojen vuotojen todennäköisyyttä lukittujen laitteiden ruuduilla näytettävien tai suojaamattomien toimituskanavien kautta havaittujen cleartext-arvojen perusteella.
Uhkien skenaariot
Valtuuttamaton yksityishenkilö voisi tarkastella transaktioiden luottamuksellisia tietoja tai monimenetelmäisiä todennuskoodeja suoraan laitteen lukitusruudusta ilman, että hänen täytyisi todentaa puhelin fyysisesti.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Ilmoitusten sisällön suojaamisen epäonnistuminen voi johtaa luottamuksellisten tietojen luottamuksellisuuden loukkaamiseen, mikä saattaa johtaa henkilöllisyyden varastamiseen, tilien ottamiseen käyttöön tai tietoturvaa koskevien säännösten noudattamatta jättämiseen.
Korkeampi riski, kun
Riskitasot kasvavat, kun ilmoitusten hyötykuormat sisältävät henkilötietoja tai kun sovellus ei peitä viestien esikatseluita, kun laite pysyy lukittuna.
Matalan riskin milloin
Riskejä vähennetään, jos sovellus lähettää vain yleisiä pinssejä, jotka vaativat käyttäjän todentamista sovelluksessa tarkastellakseen todellista luottamuksellista sisältöä, tai jos tietosisältöön sovelletaan päätavoittaista salausta.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Näiden käytäntöjen luominen vaatii tausta-ilmoituspalvelimien ja mobiilikäyttöjärjestelmän API-rajapintojen välistä koordinointia, mikä saattaa vaikuttaa käyttäjien osallistumistilastoihin ja kriittisten hälytysten ajoittamiseen.
Suositeltu korjaus
Ota käyttöön käytäntö, joka rajoittaa luottamuksellisia tietoja työntökuormissa ja määrittää sovelluksen käyttämään yleisiä paikanpitäjiä ilmoituksille, jotka näytetään järjestelmätason lukitusruudussa.
Tietoturvan terveystarkastuksen ohjeet
Noudata suojattuja viestintäkäytäntöjä siten, että työntöilmoitukset toimivat vain signaalimekanismina eikä ensisijaisena siirtäjänä luottamuksellisille tiedoille tai salaisuuksille.
