위치:
모바일의 푸시 알림 설정 및 정책: 모바일 푸시 보안
제어는 알림 서비스에서 사용되는 콘텐츠, 암호화, 전달 프로토콜을 관리하여 대역 외 경고를 모바일 장치로 전송하기 위한 안전한 아키텍처를 설정합니다.
제어 이름
외부 클라이언트 앱: 모바일의 푸시 알림 설정 및 정책: 모바일 푸시 보안
권장 구성
모바일 앱에 대한 푸시 알림을 설정합니다.
제어 개요
제어는 알림 서비스에서 사용되는 콘텐츠, 암호화, 전달 프로토콜을 관리하여 대역 외 경고를 모바일 장치로 전송하기 위한 안전한 아키텍처를 설정합니다.
구성되지 않은 경우 보안 위험
정의된 푸시 알림 정책이 없으면 잠긴 장치 화면에 표시되는 클레어텍스트 페이로드를 통해 중요한 데이터 누출이 발생하거나 안전하지 않은 배달 채널을 통해 중단될 가능성이 높아집니다.
위협 시나리오
권한이 없는 개인은 휴대폰에 대한 물리적 인증을 요구하지 않고 장치 잠금 화면에서 직접 중요한 트랜잭션 세부 사항 또는 다단계 인증 코드를 볼 수 있습니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
알림 콘텐츠를 안전하게 보호하지 못하면 민감한 정보의 기밀성이 위반될 수 있으므로 잠재적으로 ID 도난, 계정 인수 또는 데이터 프라이버시 규정을 준수하지 못할 수 있습니다.
위험이 높은 경우
알림 페이로드에 개인 식별 정보가 포함되어 있거나 응용 프로그램이 장치가 잠긴 상태로 남아 있는 동안 메시지 미리 보기를 마스킹하지 않는 경우 위험 수준이 증가합니다.
낮은 위험 시기
응용 프로그램에서 실제 민감한 콘텐츠를 보려면 사용자가 앱 내에서 인증해야 하는 일반 핑만 보내거나 페이로드에 종단간 암호화가 적용되는 경우 위험이 줄어듭니다.
비즈니스 및 통합 고려 사항
이러한 정책을 설정하려면 백엔드 알림 서버와 모바일 운영 체제 API 간의 조정이 필요하므로 사용자 참여 메트릭과 중요 경고의 시기에 영향을 미칠 수 있습니다.
권장 수정
푸시 페이로드에서 중요한 데이터를 제한하는 정책을 구현하고 응용 프로그램을 구성하여 시스템 수준 잠금 화면에 표시되는 알림에 일반 자리 표시자를 사용합니다.
보안 상태 검토 지침
푸시 알림이 중요한 데이터 또는 암호화 암호의 기본 전송이 아닌 신호 메커니즘으로만 작동하도록 보안 메시징 원칙을 준수합니다.
