随着美国国家安全局的数据泄露，应用程序开发人员能做些什么来阻止这种情况呢？

Question

最近有关国安局/GCHQ窥探行动的爆料令人恐惧。我相信作为开发人员，我们有责任保护我们的用户数据。我们可以采取哪些步骤来防止数据盗取，使用本文中描述的方法：http://www.theguardian.com/world/2014/jan/27/nsa-gchq-smartphone-app-angry-birds-personal-data

Answer 1

“卫报”的文章虽然很好，但缺乏具体的攻击细节。因此，我不太担心这篇特定的文章，而是更多地关注如何在一般情况下防止“数据窃取”，就像你所说的那样。

要做的第一件事是在所有Web交互中使用SSL，例如Web服务调用。酌情对其他协议使用等效加密选项(例如，用于电子邮件的TLS )。这将大大有助于保护“运行中的数据”。它也是一般很容易实现的东西。考虑加入证书钉扎和类似的技术，以帮助抵御中间人(MITM)的攻击。

以下是我去年发表的四篇博客文章，内容涉及Android上SSL的更多内容：

• http://commonsware.com/blog/2013/03/04/ssl-android-basics.html
• http://commonsware.com/blog/2013/03/05/ssl-android-mitm.html
• http://commonsware.com/blog/2013/03/06/ssl-android-memorizing-pinning.html
• http://commonsware.com/blog/2013/03/07/ssl-android-onionkit.html

(虽然这种材料在我的书中是最新的)

对于您引用的其他平台(我希望如此)，也可以提供类似的建议。

关于“rest数据”(存储在设备上)，请考虑向用户提供加密选项。与SSL一样，这些技术的细节将因平台而异。SQLCipher是个人的最爱，它适用于大多数平台，包括标签中的列表。然而，还有很多其他选择。

如果您确实提供了加密，请确保用户可以选择提供密码，而不是使用一些硬编码密码或从其他设备上的数据派生出来的内容。如果可以在不需要人工干预的情况下确定密码，则有可能被发现，或至少由攻击者自动获取。

除此之外，我建议您针对特定平台的技术提出问题。像这样的“猎枪”问题，带有一系列平台的标签，在StackOverflow上往往不是很好。