Google verkündet neuen Sicherheitsstandard für mobile Apps

Google kündigt einen einem neuen Standard an, der die Basissicherheit für mobile Anwendungen verbessern soll.

Das Mobile Application Profile ist das Werk der Internet of Secure Things Alliance (ioXt), einem Konsortium von über 300 Mitgliedern, darunter Google, Facebook, T-Mobile, Zigbee Alliance, Schneider Electric und viele andere.

„Da so viele Unternehmen beteiligt sind, deckt ioXt eine breite Palette von Gerätetypen ab, einschließlich intelligenter Beleuchtung, intelligenter Lautsprecher und Webcams, und da die meisten intelligenten Geräte über Apps verwaltet werden, haben sie mit der Einführung dieses Profils die Abdeckung auf mobile Apps erweitert“, erklärten Brooke Davis und Eugene Liderman vom Android Security and Privacy Team.

„Das ioXt Mobile Application Profile bietet einen Mindestsatz an kommerziellen Best Practices für alle mit der Cloud verbundenen Apps, die auf mobilen Geräten laufen. Diese Sicherheits-Baseline hilft, gängige Bedrohungen abzuschwächen und die Wahrscheinlichkeit signifikanter Schwachstellen zu reduzieren.“

Laut dem Dokument selbst deckt das Profil Passwörter, Schnittstellen, Kryptographie, Software-Updates, Schwachstellenberichte und Security-by-Default ab.

Es wurde von ioXt in Zusammenarbeit mit über 20 Branchenakteuren erstellt, darunter Google und Amazon, Labore wie NCC Group und Dekra sowie Anbieter von automatisierten Sicherheitstests für mobile Apps wie NowSecure.

Es basiert auch auf bestehenden Frameworks wie OWASP MASVS und der VPN Trust Initiative. Während mobile Apps nur nach dem Mobile Application Profile zertifiziert werden müssen, müssen VPN-Apps zusätzlich eine spezielle VPN-Erweiterung erfüllen.

„Die Zertifizierung ermöglicht es Entwicklern, die Sicherheit ihrer Produkte zu demonstrieren, und wir sind begeistert von der Möglichkeit, dass dieser Standard die Branche vorantreibt“, so Davis und Liderman.

„Wir haben beobachtet, dass App-Entwickler sehr schnell alle Probleme behoben haben, die während ihrer Blackbox-Evaluierungen gegen diesen neuen Standard identifiziert wurden, oft mit Turnarounds innerhalb weniger Tage.“

Das Duo ermutigte mehr Entwickler, sich an dem Projekt zu beteiligen, und sagte, dass es als „richtungsweisendes Licht“ dazu beitragen würde, mehr Mitglieder der Community zu inspirieren, in die Sicherheit mobiler Apps zu investieren.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.