به گزارش مشرق، این روزها زیرساختهای فناوری اطلاعات و ارتباطات روند پیشرفت و توسعه را به سرعت طی می كنند و به تبع آن كاربران نیز از بستر موجود به ویژه اینترنت و دیگر فناوریهای ارتباطی بهرهمند خواهند شد.
به همین خاطر تمایل افراد نسبت به بهرهمندی از همراه بانك ها و تجارت الكترونیك رو به افزایش است. با این وجود راه برای افراد سودجو باز خواهد بود. كافی است كاربران گوشی های هوشمند موارد امنیتی و هشدارهای داده شده را نسبت به افزایش امنیت گوشی هوشمند خود در نظر داشته باشند.
1) ذخیره داده بهصورت ناامن
ذخیره داده به صورت ناامن می تواند منجر به از دست رفتن داده های كاربر به هنگام گم شدن گوشی همراه شود. گاهی اوقات ما از یك دستگاه برای استفاده چند كاربر بهره می بریم و در صورت نصب یك برنامه كاربردی ناامن در دستگاه، تمام كاربران در معرض خطر قرار خواهند گرفت .
داده هایی كه در دستگاه اندرویدی ذخیره میشوند و به صورت بالقوه در معرض خطر قرار خواهند گرفت به شرح زیر است:
نام های كاربری، توكن های احراز اصالت، گذرواژه ها، كوكی ها، داده های موقعیت مكانی، UDID/EMEI، نام دستگاه، نام شبكه متصل شده ، اطلاعات شخصی: DoB، آدرس، دادههای كارت های اعتباری، داده های برنامه كاربردی
همچنین لاگ های ذخیره شده برنامه كاربردی، اطلاعات دیباگ، پیام های به دست آمده از برنامه كاربردی و تاریخچه تراكنش ها می باشد.
2) كنترل های ضعیف از سمت سرور
سرورهایی كه برنامه كاربردی شما باید به آن دسترسی داشته باشد نیازمند یكسری فاكتورهای امنیتی است تا مانع از دستیابی كاربران غیرمجاز به داده كاربر اصلی شوند.
درصورت عدم تأمین كنترل در سمت سرور و امكان دسترسی برنامه كاربردی شما به آنها، داده های شما در معرض خطر قرار خواهد گرفت.
3) حفاظت ناكافی لایه انتقال
به هنگام طراحی یك برنامه كاربردی برای گوشی همراه، در زمان اجرا، این برنامه كاربردی داده ها را از طریق یك سرور كلاینت جابهجا خواهدكرد. در واقع این نوع از داده ها از طریق شبكه و اینترنت منتقل خواهند شد.
اگر كدنویسی این برنامه كاربردی ضعیف باشد و نتواند فاكتورهای امنیتی را برآورده نماید'عوامل تهدید' میتوانند با استفاده از تكنیك هایی، داده های حساس را به هنگام عبور از خطوط ارتباط مشاهده نمایند.
عوامل تهدید شامل موارد زیر خواهند بود:
كاربران محلی در شبكه شما (نظارت Wi-Fi)، حامل ها یا دستگاه های شبكه (روترها، دكل های مخابراتی، پروكسی ها و غیره) و بدافزارهایی كه از قبل روی گوشی كاربر وجود داشته اند
4) تزریق از جانب كلاینت
برنامه های كاربردی اندروید از جانب كلاینت دانلود و اجرا خواهند شد. یعنی كد برنامه كاربردی روی دستگاه كاربر قرار خواهد گرفت. مهاجمان میتوانند با بارگذاری حملات ساده 'متن محور' را در هر منبع داده تزریق نمایند، این منابع می توانند فایل ها یا خود برنامه های كاربردی باشند.
حملات تزریق از جمله تزریق SQL روی دستگاه های كلاینت می تواند در صورت وجود چندین حساب كاربری روی یك برنامه كاربردی یا یك دستگاه به اشتراك گذاشته شده تشدید پیدا كنند.
5) ضعف مجوز و احراز اصالت
برنامه های كاربردی و سیستم هایی كه به آنها متصل هستید باید به بهترین شكل از نظر تفویض مجوز و فرآیند احراز اصالت محافظت شوند. این كار موجب میشود تا (سیستم ها، كاربران و دستگاه ها) برای انتقال داده در زمان فعالیت برنامه كاربردی دارای اختیار و مجوز قانونی باشند و در صورت عدم وجود چنین شرایطی سیستم ها، كاربران و دستگاه های غیرمجاز توانایی این كار را نداشته باشند و مسدود شوند.
6) مدیریت نادرست لایه جلسه
ممكن است برای شما هم اتفاق افتاده باشد كه در حین بررسی حساب بانكی خود از طریق كامپیوتر، كاری پیش آمده باشد و میز كامپیوتر خود را ترك كنید و پس از بازگشت با پیغام ' زمان جلسه به اتمام رسیده است - لطفاً دوباره وارد شوید' روبرو شوید. این یك نمونه خوب از مدیریت جلسه است. در واقع شما در یك مدت زمان مشخص در صورت عدم فعالیت به صورت خودكار از سیستم خارج خواهید شد.
این كار باعث میشود تا تهدیداتی از قبیل جاسوسی از كامپیوتر شما و مشاهده اطلاعات حساب بی نتیجه باقی بماند.
این مورد و سایر موارد مدیریت جلسه باید در مورد برنامه های كاربردی كه دسترسی به داده های حساس را دارند اعمال شود.
7) تصمیمات امنیتی از طریق ورودی های نامطمئن
شاید فكر كنید ورودی هایی از قبیل كوكی ها، متغیرهای محیطی و فرم های مخفی موجود در گوشی شما غیرقابل تغییر و تنظیم مجدد هستند، اما این یك تصور كاملاً اشتباه است! یك مهاجم می تواند این نوع از ورودی ها را تغییر دهد و نكته مهم اینجاست كه این تغییرات ممكن است قابل تشخیص هم نباشند.
زمانی كه تصمیمات امنیتی از قبیل احراز اصالت و نوع مجوزها بر اساس مقادیر این دست از ورودی ها اتخاذ و ساخته می شوند بنابراین مهاجمان نیز می توانند امنیت نرمافزارها را دور بزنند.
بدون رمزگذاری مناسب، بررسی جامعیت یا دیگر مكانیسم ها هر ورودی كه سرچشمه خارجی داشته باشد نمیتواند قابلاعتماد باشد.
8) نشت داده از كانال جانبی
در رمزنگاری – استراتژی های متنوعی در رمزگذاری مورد استفاده قرار می گیرند. حمله كانال جانبی: حملاتی كه بهمنظور به دست آوردن اطلاعات از طریق اجرای فیزیكی سیستم رمزگذاری صورت می پذیرند بیشتر از حملات brute force یا پیدا كردن نقاط ضعف موجود در الگوریتم رمزنگاری باشد.
بررسی دقیق از نظر چگونگی انتقال داده و زمان و مكان انتقال آن توسط مهاجمان می تواند منجر به شناسایی و بهره برداری از حفره های امنیتی شود.
9) شكستن رمزنگاری
سیستم های رمزگذاری دائماً در حال تغییر و تحول هستند زیرا آنها همیشه رمزگشایی و یا شكسته می شوند.
نسبت به قدرت، پایا بودن و عدم شكسته شدن الگوریتم رمزنگاری كه از آن استفاده می كنید اطمینان حاصل كنید.
نقاط ضعف یك الگوریتم را می توان با استفاده از ابزارها و تكنیك هایی كه نیازمند تحلیل دستی و با مشاركت انسان است، انجام داد. این تكنیكها شامل آزمون های نفوذ، مدل كردن تهدیدات و ابزارهای تعاملی است و به كاربر اجازه ثبت و تنظیم یك جلسه فعال را می دهد.
10) افشای اطلاعات حساس
از بین 9 مورد گفته شده، این مورد از اهمیت بیشتری برخوردار است. زمانی كه برنامه های كاربردی، سیستم ها و الگوریتم های رمزنگاری ساخته می شوند یا توسط شركت ها مورداستفاده قرار می گیرند، هك و یا شكسته خواهند شد، در این زمان داده شما می تواند در معرض خطر قرار گیرد. هنگامی كه داده های حساس فاش شوند، افراد سودجو می توانند این داده ها را در پایگاه های داده و سیستم های خود ذخیره كنند و به حساب های كاربری، كارت های اعتباری، نام های كاربری، گذرواژه ها و بسیاری دیگر از داده های حساس شما دسترسی داشته باشند.
جستجوی داده به منظور شناسایی آسیب پذیری هایی كه از نقص موجود در برنامه های كاربردی و نوع خدمات شركت ها منجر میشود، شما را در برابر این دست از خطرات مصون نگاه خواهد داشت.
به همین خاطر تمایل افراد نسبت به بهرهمندی از همراه بانك ها و تجارت الكترونیك رو به افزایش است. با این وجود راه برای افراد سودجو باز خواهد بود. كافی است كاربران گوشی های هوشمند موارد امنیتی و هشدارهای داده شده را نسبت به افزایش امنیت گوشی هوشمند خود در نظر داشته باشند.
1) ذخیره داده بهصورت ناامن
ذخیره داده به صورت ناامن می تواند منجر به از دست رفتن داده های كاربر به هنگام گم شدن گوشی همراه شود. گاهی اوقات ما از یك دستگاه برای استفاده چند كاربر بهره می بریم و در صورت نصب یك برنامه كاربردی ناامن در دستگاه، تمام كاربران در معرض خطر قرار خواهند گرفت .
داده هایی كه در دستگاه اندرویدی ذخیره میشوند و به صورت بالقوه در معرض خطر قرار خواهند گرفت به شرح زیر است:
نام های كاربری، توكن های احراز اصالت، گذرواژه ها، كوكی ها، داده های موقعیت مكانی، UDID/EMEI، نام دستگاه، نام شبكه متصل شده ، اطلاعات شخصی: DoB، آدرس، دادههای كارت های اعتباری، داده های برنامه كاربردی
همچنین لاگ های ذخیره شده برنامه كاربردی، اطلاعات دیباگ، پیام های به دست آمده از برنامه كاربردی و تاریخچه تراكنش ها می باشد.
2) كنترل های ضعیف از سمت سرور
سرورهایی كه برنامه كاربردی شما باید به آن دسترسی داشته باشد نیازمند یكسری فاكتورهای امنیتی است تا مانع از دستیابی كاربران غیرمجاز به داده كاربر اصلی شوند.
درصورت عدم تأمین كنترل در سمت سرور و امكان دسترسی برنامه كاربردی شما به آنها، داده های شما در معرض خطر قرار خواهد گرفت.
3) حفاظت ناكافی لایه انتقال
به هنگام طراحی یك برنامه كاربردی برای گوشی همراه، در زمان اجرا، این برنامه كاربردی داده ها را از طریق یك سرور كلاینت جابهجا خواهدكرد. در واقع این نوع از داده ها از طریق شبكه و اینترنت منتقل خواهند شد.
اگر كدنویسی این برنامه كاربردی ضعیف باشد و نتواند فاكتورهای امنیتی را برآورده نماید'عوامل تهدید' میتوانند با استفاده از تكنیك هایی، داده های حساس را به هنگام عبور از خطوط ارتباط مشاهده نمایند.
عوامل تهدید شامل موارد زیر خواهند بود:
كاربران محلی در شبكه شما (نظارت Wi-Fi)، حامل ها یا دستگاه های شبكه (روترها، دكل های مخابراتی، پروكسی ها و غیره) و بدافزارهایی كه از قبل روی گوشی كاربر وجود داشته اند
4) تزریق از جانب كلاینت
برنامه های كاربردی اندروید از جانب كلاینت دانلود و اجرا خواهند شد. یعنی كد برنامه كاربردی روی دستگاه كاربر قرار خواهد گرفت. مهاجمان میتوانند با بارگذاری حملات ساده 'متن محور' را در هر منبع داده تزریق نمایند، این منابع می توانند فایل ها یا خود برنامه های كاربردی باشند.
حملات تزریق از جمله تزریق SQL روی دستگاه های كلاینت می تواند در صورت وجود چندین حساب كاربری روی یك برنامه كاربردی یا یك دستگاه به اشتراك گذاشته شده تشدید پیدا كنند.
5) ضعف مجوز و احراز اصالت
برنامه های كاربردی و سیستم هایی كه به آنها متصل هستید باید به بهترین شكل از نظر تفویض مجوز و فرآیند احراز اصالت محافظت شوند. این كار موجب میشود تا (سیستم ها، كاربران و دستگاه ها) برای انتقال داده در زمان فعالیت برنامه كاربردی دارای اختیار و مجوز قانونی باشند و در صورت عدم وجود چنین شرایطی سیستم ها، كاربران و دستگاه های غیرمجاز توانایی این كار را نداشته باشند و مسدود شوند.
6) مدیریت نادرست لایه جلسه
ممكن است برای شما هم اتفاق افتاده باشد كه در حین بررسی حساب بانكی خود از طریق كامپیوتر، كاری پیش آمده باشد و میز كامپیوتر خود را ترك كنید و پس از بازگشت با پیغام ' زمان جلسه به اتمام رسیده است - لطفاً دوباره وارد شوید' روبرو شوید. این یك نمونه خوب از مدیریت جلسه است. در واقع شما در یك مدت زمان مشخص در صورت عدم فعالیت به صورت خودكار از سیستم خارج خواهید شد.
این كار باعث میشود تا تهدیداتی از قبیل جاسوسی از كامپیوتر شما و مشاهده اطلاعات حساب بی نتیجه باقی بماند.
این مورد و سایر موارد مدیریت جلسه باید در مورد برنامه های كاربردی كه دسترسی به داده های حساس را دارند اعمال شود.
7) تصمیمات امنیتی از طریق ورودی های نامطمئن
شاید فكر كنید ورودی هایی از قبیل كوكی ها، متغیرهای محیطی و فرم های مخفی موجود در گوشی شما غیرقابل تغییر و تنظیم مجدد هستند، اما این یك تصور كاملاً اشتباه است! یك مهاجم می تواند این نوع از ورودی ها را تغییر دهد و نكته مهم اینجاست كه این تغییرات ممكن است قابل تشخیص هم نباشند.
زمانی كه تصمیمات امنیتی از قبیل احراز اصالت و نوع مجوزها بر اساس مقادیر این دست از ورودی ها اتخاذ و ساخته می شوند بنابراین مهاجمان نیز می توانند امنیت نرمافزارها را دور بزنند.
بدون رمزگذاری مناسب، بررسی جامعیت یا دیگر مكانیسم ها هر ورودی كه سرچشمه خارجی داشته باشد نمیتواند قابلاعتماد باشد.
8) نشت داده از كانال جانبی
در رمزنگاری – استراتژی های متنوعی در رمزگذاری مورد استفاده قرار می گیرند. حمله كانال جانبی: حملاتی كه بهمنظور به دست آوردن اطلاعات از طریق اجرای فیزیكی سیستم رمزگذاری صورت می پذیرند بیشتر از حملات brute force یا پیدا كردن نقاط ضعف موجود در الگوریتم رمزنگاری باشد.
بررسی دقیق از نظر چگونگی انتقال داده و زمان و مكان انتقال آن توسط مهاجمان می تواند منجر به شناسایی و بهره برداری از حفره های امنیتی شود.
9) شكستن رمزنگاری
سیستم های رمزگذاری دائماً در حال تغییر و تحول هستند زیرا آنها همیشه رمزگشایی و یا شكسته می شوند.
نسبت به قدرت، پایا بودن و عدم شكسته شدن الگوریتم رمزنگاری كه از آن استفاده می كنید اطمینان حاصل كنید.
نقاط ضعف یك الگوریتم را می توان با استفاده از ابزارها و تكنیك هایی كه نیازمند تحلیل دستی و با مشاركت انسان است، انجام داد. این تكنیكها شامل آزمون های نفوذ، مدل كردن تهدیدات و ابزارهای تعاملی است و به كاربر اجازه ثبت و تنظیم یك جلسه فعال را می دهد.
10) افشای اطلاعات حساس
از بین 9 مورد گفته شده، این مورد از اهمیت بیشتری برخوردار است. زمانی كه برنامه های كاربردی، سیستم ها و الگوریتم های رمزنگاری ساخته می شوند یا توسط شركت ها مورداستفاده قرار می گیرند، هك و یا شكسته خواهند شد، در این زمان داده شما می تواند در معرض خطر قرار گیرد. هنگامی كه داده های حساس فاش شوند، افراد سودجو می توانند این داده ها را در پایگاه های داده و سیستم های خود ذخیره كنند و به حساب های كاربری، كارت های اعتباری، نام های كاربری، گذرواژه ها و بسیاری دیگر از داده های حساس شما دسترسی داشته باشند.
جستجوی داده به منظور شناسایی آسیب پذیری هایی كه از نقص موجود در برنامه های كاربردی و نوع خدمات شركت ها منجر میشود، شما را در برابر این دست از خطرات مصون نگاه خواهد داشت.