Làm thế nào để tự bảo mật thông tin trong mobile app?

• Có nên cấp quyền truy cập dữ liệu cho ứng dụng di động ?
• Lời khuyên dành cho doanh nghiệp khi phát triển ứng dụng di động

Như chúng tôi đã đề cập ở bài viết Phần 1, thì giải pháp tốt nhất là bạn không nên tải về những ứng dụng yêu cầu quá nhiều quyền truy cập thông tin cá nhân.

Nhưng nếu bạn thật sự cần ứng dụng đó, thì trong App Store sẽ có một ứng dụng với tính năng tương tự mà lại không đòi hỏi quá nhiều quyền truy cập.

Ngoài ra, bạn cũng có thể hạn chế quyền truy cập thông tin của ứng dụng mà bạn đã cài đặt thông qua việc tùy chỉnh các thiết lập trong mục ‘cài đặt’ của điện thoại. Tuy nhiên, bạn cũng cần lưu ý xem sau khi tùy chỉnh thì ứng dụng đó có còn hoạt động tốt như ban đầu hay không.

Đối với hệ điều hành Android, thì có thể tham khảo công cụ hỗ trợ App Ops để quản lý hiệu quả hơn các quyền truy cập thông tin của ứng dụng.

Còn đối với hệ điều hành iOS, khi một ứng dụng yêu cầu quyền truy cập thông tin, thì một cửa sổ pop-up sẽ hiện lên với thông báo về những quyền truy cập nào mà bạn nên chấp nhận hoặc đã từng chấp nhận rồi.

Tuy các cửa sổ pop-up thường gây phiền hà cho người dùng, nhưng trong trường hợp này thì Apple đã biết cách tận dụng để giúp người dùng có thể tự kiểm soát mức độ bảo mật thông tin cá nhân mỗi khi sử dụng ứng dụng di động.

Các nhà phát triển cần làm gì để giảm bớt lo ngại về vấn đề bảo mật?

Là chuyên gia trong lĩnh vực cung cấp dịch vụ chăm sóc sức khỏe từ xa tại đại học Valladolid, ông Borja Martínez đã thiết kế những tính năng hữu ích nhằm bảo mật thông tin cá nhân của khách hàng một cách tốt nhất, như:

• Kiểm soát truy cập

Người dùng có thể cho phép hoặc từ chối quyền truy cập thông tin cá nhân từ điện thoại.

• Tài khoản

Giúp người dùng tạo một tài khoản cá nhân cũng như mật khẩu mà chỉ mình họ biết.

• An ninh và bảo mật

Sử dụng tiêu chuẩn mã hóa AES với khóa mã có độ dài 128 bit, giúp đảm bảo thông tin của bạn được bảo mật ở mức độ cao.

• Thông tin người dùng

Trước khi yêu cầu người dùng cung cấp thông tin cá nhân, các ứng dụng di động sẽ phải đưa ra được một chính sách bảo mật rõ ràng, tức là thông báo cho người dùng biết ai sẽ sử dụng thông tin của họ và với mục đích cụ thể nào. Ngoài ra, quyền lợi của người dùng cũng như thông tin liên lạc của họ cũng phải nằm trong chính sách bảo mật này.

• Truyền dữ liệu

Sử dụng tính năng bảo mật tầng truyền tải TLS với khóa mã có độ dài 128 bit hoặc mạng riêng ảo VPN.

• Lưu trữ dữ liệu

Các dữ liệu phải được lưu trữ với mục đích được xác định rõ ràng.

• Kết nối với thiết bị đeo thông minh

Ứng dụng sẽ sử dụng mật mã để xác thực thiết bị đeo và phân bố khóa xác thực.

• Cảnh báo trong trường hợp bảo mật cá nhân bị xâm phạm

Các nhà phát triển phải thông báo cho cơ quan chức năng và người dùng trong thời gian sớm nhất, đồng thời giúp người dùng khắc phục những tổn thất từ lỗi xâm phạm bảo mật.