Дорогие друзья,
Поздравляем всех с международным днем труда и желаем вам хорошо отдохнуть!
Мы готовим два больших подробных рассказа про все этапы разработки нашей платежной системы Payler и смс-шлюза Billingrad. А пока хотим поделиться с вами нашими последними новостями.
Разработчики мобильных приложений зачастую сталкиваются с необходимостью хранить конфиденциальные данные пользователя на пользовательском устройстве. Это могут быть, например, номер кредитной карточки или аутентификационные данные. В этой статье мы поговорим о типичных ошибках реализации хранения конфиденциальных данных с точки зрения информационной безопасности на примере мобильной платформы iOS.
Обычно настройки приложения хранятся в конфигурационных файлах. Библиотека Cocoa Touch, используемая при разработке приложений для мобильной платформы iOS, предоставляет слой абстракции для хранения настроек приложения в классе NSUserDefaults. Класс NSUserDefaults реализует нелюбимый многими шаблон проектирования «Одиночка» (более известный как Singleton), предоставляя доступ к интерфейсу над стандартным конфигурационным файлом приложения.
Стандартный файл конфигурации приложения располагается в его домашней директории по относительному адресу Library/Preferences/<your.company.name>.<app.name>.plist. Как и другие файлы, расположенные в «песочнице», он не доступен на чтение для других приложений пользовательского уровня. Исключения составляют устройства, подвергнутые модификациям политики безопасности системы (jailbroken-устройства).
Многие разработчики по достоинству оценили удобство работы с классом NSUserDefaults. Подавляющее число приложений используют его для хранения внутренних настроек и/или настроек пользователя. К сожалению, удобство использования редко коррелирует с безопасностью. Хранение конфиденциальных данных пользователя в стандартном файле настроек является типичной ошибкой разработчиков, приводящей к утечке пользовательской информации.
В результате исследования исходного кода Приложения А на наличие ошибок в контексте информационной безопасности было выявлено, что приложение сохраняет данные аутентификации пользователя в конфигурационном файле настроек. Загрузив Приложение А на iPad под управление оригинальной операционной системы iOS версии 6.1.3, мы прошли стадию аутентификации и принялись за исследование файла настроек приложения.
Рис. 1. Загрузка приложения на iPad
Для демонстрации уязвимости мы использовали приложение iExplorer, доступное для операционных систем семейств Windows NT и Mac OS X. Приложение iExplorer представляет собой графический файловый менеджер для устройств под управлением iOS. Находим Приложение А в списке установленных приложений и открываем Library/Preferences/<settings-name>.plist на чтение.
Рис. 2. Внешний вид приложения iExplorer c доступом к нужному файлу
Рис. 3. Конфигурационный файл с конфиденциальной информацией
Уважаемые айфоноводы, бывает ли с вами такое, что вы скачали приложение, а там… всё не то и не так и не на своих местах? Когда ваш юзер-экспириенс подсказывает вам, что приложение устроено неправильно: нажимаете вы, например, кнопку, которая всегда в iOS означала «Поделиться», а вам вместо этого вываливается какое-нибудь «левое» меню… Возникает неприятная фрустрация, и вы, скорее всего, сносите приложение со своего смартфона.
Относительно недавно Яндекс без особенных анонсов выпустил бетта-версию нового мобильного приложения — «Транспорт».
Это карты городов, на которых в режиме он-лайн отображается передвижение автобусов, троллейбусов, трамваев и маршруток. Пока сервис доступен для общественного транспорта Казани, Омска, Новосибирска, Перми, Нижнего Новгорода, а также Московской области. Разработчики сразу просят не цепляться к багам, так что заострять внимание на конкретных недоработках смысла пока нет.
Ценность такой системы для простого обывателя сложно переоценить — очень удобно планировать перемещения по городу и продумывать маршруты ясно понимая, что автобус подъедет к остановке через 5 минут или, наоборот, в ближайшие 40 минут не стоит ждать милости от Мострансавто и вместо бесперспективного стояния на морозе (под дождем, на солнцепеке) нужно выбирать альтернативные варианты перемещения — такси, пешком и т.п.
Читать полностью »
Долго думал как преподнести наш игрушечный проект сделанный на «коленке» и за пару вечеров, эдакий just-for-fun за вечер.
Преамбула. В какой-то момент лично мне надоело размещать свои фотографии в общих социальных сетях и в голову пришла мысль, а что если сделать простенький «Instagram-Wordpress-Gallery2» для личных нужд. Этот «фатальный недостаток» и привел к рождению Imagenary — это полностью бесплатный, с открытым исходным кодом — фотоальбом, который можно легко использовать для блоггинга и социализации. Фотоальбом с открытым API и уже имеющимся рабочим мобильным клиентом под Windows Phone 7 & 8.
Главное идея, с нее и пошел наш маленький проект, который и хочется представить вам.
А начиналось всё с простого скриншоттера… Врядли тогда в апреле 2013-го мы могли предположить, что идея сделать уже наконец нормальный аддон для снятия скриншотов в Chrome выльется в большой и серьезный кроссплатформенный проект, каким и стал Nimbus (тогда и названия такого не было). В этом посте я бы хотел бы рассказать краткую и жуткую историю проекта, который, надеюсь, как минимум, вас заинтересует.
Мы делали, делали и, наконец, доделали первое мобильное приложение Nimbus Notes. Для одноименного сервиса уже выпустили и скриншотеры, клипперы и даже есть полноценный веб-интерфейс, а вот мобильных приложений для непосредственной работы заметками не было. Мы наконец исправили этот досадный пробел и готовы представить Nimbus Notes для IOS 7.
Ссылка — https://itunes.apple.com/us/app/nimbus-notes/id828918459?l=uk&ls=1&mt=8
Мы делали, делали и, наконец, доделали первое мобильное приложение Nimbus Notes. Для одноименного сервиса уже выпустили и скриншотеры, клипперы и даже есть полноценный веб-интерфейс, а вот мобильных приложений для непосредственной работы заметками не было. Мы наконец исправили этот досадный пробел и готовы представить Nimbus Notes для IOS 7.
Ссылка — https://itunes.apple.com/us/app/nimbus-notes/id828918459?l=uk&ls=1&mt=8
Не так давно корпорация IBM открыла ресурсы суперкомпьютера Watson для сторонних разработчиков, которые разрабатывают «облачные» приложения. В рамках этого проекта был открыт API, позволяющий разработчикам получать доступ к функциям IBM Watson.
Теперь корпорация пошла дальше, и объявила конкурс для разработчиков приложений для мобильных устройств. Компания надеется, что разработчики смогут создать приложения, открывающие возможности суперкомпьютера для пользователей мобильных устройств.
Неделя «больших» новостей: Яндекс выпустил свой Android Кит, Apple приобрела TestFlight, Facebook купил WhatsApp за $16 млрд, Google представил смартфон с 3D сенсором. Кроме них в нашей подборке статья о том, как заработать на названии, как лишняя строчка кода поломала всю безопасность iOS, новые отчеты Distimo, App Annie, Adfonic.
.jpg "Дайджест новостей из мира мобильной разработки за последнюю неделю №41 (17 23 февраля 2014)")