Вы находитесь здесь:
Параметры и политики всплывающих уведомлений для мобильных устройств: Управление безопасностью мобильного всплывающего режима
Этот элемент управления устанавливает безопасную архитектуру для передачи внешних предупреждений на мобильные устройства, управляя содержимым, шифрованием и протоколами доставки, используемыми службами уведомлений.
Управление именем
Приложения внешних клиентов: Параметры и политики всплывающих уведомлений для мобильных устройств: Безопасность мобильного всплывания
Рекомендованная конфигурация
Настройте всплывающие уведомления для мобильного приложения.
Общие сведения о контроле
Этот элемент управления устанавливает безопасную архитектуру для передачи внешних предупреждений на мобильные устройства, управляя содержимым, шифрованием и протоколами доставки, используемыми службами уведомлений.
Риск безопасности, если он не настроен
Отсутствие определенной политики всплывающих уведомлений повышает вероятность утечки конфиденциальных данных посредством полезных данных четкого текста, отображаемых на экранах заблокированных устройств или перехваченных посредством небезопасных каналов доставки.
Сценарии угроз
Неавторизованное лицо может просматривать конфиденциальные сведения о транзакции или коды многофакторной проверки подлинности прямо на экране блокировки устройства, не требуя физической проверки подлинности на телефоне.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Отсутствие безопасности содержимого уведомлений может привести к нарушению конфиденциальности конфиденциальной информации, что может привести к краже удостоверений, захвату организаций или несоответствию регламентам о конфиденциальности данных.
Повышенный риск при
Уровни риска возрастают, когда полезные данные уведомлений содержат персональные данные или когда приложение не маскирует предварительные просмотры сообщений, пока устройство находится в заблокированном состоянии.
Низкий риск при
Риск уменьшается, если приложение отправляет только общие пинги, требующие авторизации пользователя в приложении для просмотра фактического конфиденциального содержимого или если к полезной нагрузке применяется комплексное шифрование.
Рекомендации по бизнесу и интеграции
Создание этих политик требует координации между серверами серверных уведомлений и интерфейсами API мобильных операционных систем, что может повлиять на показатели занятости пользователей и своевременность критических предупреждений.
Рекомендованное исправление
Внедрите политику, которая ограничивает конфиденциальные данные в всплывающих полезных данных и настраивает приложение на использование общих структурных нуля для уведомлений, отображаемых на системном экране блокировки.
Руководство по проверке состояния безопасности
Придерживайтесь принципов безопасности службы сообщений, чтобы всплывающие уведомления служили только механизмом сигнализации, а не основным транспортом для конфиденциальных данных или криптографических секретов.
