اخبار


ده خطر امنيتي در مورد گوشي‌هاي هوشمند

ارسال شده در تاریخ : 1395/01/17
ده خطر امنيتي در مورد گوشي‌هاي هوشمند

اين روزها زيرساخت‌هاي فناوري اطلاعات و ارتباطات روند پيشرفت و توسعه را به‌سرعت طي مي‌كنند و به‌تبع آن كاربران نيز از بستر موجود به‌ويژه اينترنت و ديگر فناوري‌هاي ارتباطي بهره‌مند خواهند شد. به همين خاطر تمايل افراد نسبت به بهره‌مندي از همراه بانك‌ها و تجارت الكترونيك رو به افزايش است. با اين وجود راه براي افراد سودجو باز خواهد بود. كافي است كاربران گوشي‌هاي هوشمند موارد امنيتي و هشدارهاي داده شده را نسبت به افزايش امنيت گوشي هوشمند خود در نظر داشته باشند.
در ادامه 10 خطر امنيتي مربوط به دستگاه‌هاي قابل‌حمل عنوان شده است. دانستن اين خطرات مي‌تواند شما را در حفاظت از داده‌هاي حساس خود و توسعه‌دهندگان برنامه كاربردي را نسبت به ايمن‌سازي برنامه‌هايشان كمك نمايد.

خطر امنيتي اول – ذخيره داده به‌صورت ناامن

 ذخيره داده به‌صورت ناامن مي‌تواند منجر به از دست رفتن داده‌هاي كاربر به هنگام گم‌شدن گوشي همراه گردد. گاهي اوقات ما از يك دستگاه براي استفاده چند كاربر استفاده مي‌كنيم و در صورت نصب يك برنامه كاربردي ناامن در دستگاه، تمام كاربران در معرض خطر قرار خواهند گرفت. در اينجا داده‌هايي را كه در دستگاه اندرويدي ذخيره مي‌شوند و به‌صورت بالقوه در معرض خطر قرار خواهند گرفت معرفي مي‌كنيم:

  •  نام‌هاي كاربري
  • توكن‌هاي احراز اصالت
  • گذرواژه‌ها
  • كوكي‌ها
  • داده‌هاي موقعيت مكاني
  • UDID/EMEI، نام دستگاه، نام شبكه متصل شده
  • اطلاعات شخصي: DoB، آدرس، داده‌هاي كارت‌هاي اعتباري
  • داده‌هاي برنامه كاربردي
  • لاگ‌هاي ذخيره شده برنامه كاربردي
  • اطلاعات ديباگ
  • پيام‌هاي به‌دست‌آمده از برنامه كاربردي
  • تاريخچه تراكنش‌ها

خطر امنيتي دوم – كنترل‌هاي ضعيف از سمت سرور

سرورهايي كه برنامه كاربردي شما بايد به آن دسترسي داشته باشد نيازمند يكسري فاكتورهاي امنيتي است تا مانع از دستيابي كاربران غيرمجاز به داده كاربر اصلي شوند. در صورت عدم تأمين كنترل در سمت سرور و امكان دسترسي برنامه كاربردي شما به آن‌ها، داده‌هاي شما در معرض خطر قرار خواهد گرفت.
خطر امنيتي سوم – حفاظت ناكافي لايه انتقال
به هنگام طراحي يك برنامه كاربردي براي گوشي همراه، در زمان اجرا، اين برنامه كاربردي داده‌ها را از طريق يك سرور كلاينت جابه‌جا خواهدكرد. در واقع اين نوع از داده‌ها از طريق شبكه و اينترنت منتقل خواهند شد. اگر كدنويسي اين برنامه كاربردي ضعيف باشد و نتواند فاكتورهاي امنيتي را برآورده نمايد "عوامل تهديد" مي‌توانند با استفاده از تكنيك‌هايي، داده‌هاي حساس را به هنگام عبور از خطوط ارتباط مشاهده نمايند.
عوامل تهديد شامل موارد زير خواهند بود:

  • كاربران محلي در شبكه شما (نظارت Wi-Fi)
  • حامل‌ها يا دستگاه‌هاي شبكه (روترها، دكل‌هاي مخابراتي، پروكسي‌ها و غيره)
  • بدافزارهايي كه از قبل روي گوشي كاربر وجود داشته‌اند

خطر امنيتي چهارم– تزريق از جانب كلاينت
برنامه‌هاي كاربردي اندرويد از جانب كلاينت دانلود و اجرا خواهند شد. يعني كد برنامه كاربردي روي دستگاه كاربر قرار خواهد گرفت. مهاجمان مي‌توانند با بارگذاري حملات ساده‌ي "متن محور" را در هر منبع داده تزريق نمايند، اين منابع مي‌توانند فايل‌ها يا خود برنامه‌هاي كاربردي باشند. حملات تزريق ازجمله تزريق SQL روي دستگاه‌هاي كلاينت مي‌تواند در صورت وجود چندين حساب كاربري روي يك برنامه كاربردي يا يك دستگاه به اشتراك گذاشته شده تشديد پيدا كنند.
خطر امنيتي پنجم– ضعف مجوز و احراز اصالت
برنامه‌هاي كاربردي و سيستم‌هايي كه به آن‌ها متصل هستيد بايد به بهترين شكل از نظر تفويض مجوز و فرآيند احراز اصالت محافظت شوند. اين كار موجب مي‌شود تا (سيستم‌ها، كاربران و دستگاه‌ها) براي انتقال داده در زمان فعاليت برنامه كاربردي داراي اختيار و مجوز قانوني باشند و در صورت عدم وجود چنين شرايطي سيستم‌ها، كاربران و دستگاه‌هاي غيرمجاز توانايي اين كار را نداشته باشند و مسدود شوند.
خطر امنيتي ششم – مديريت نادرست لايه جلسه
ممكن است براي شما هم اتفاق افتاده باشد كه در حين بررسي حساب بانكي خود از طريق كامپيوتر، كاري پيش‌آمده باشد و ميز كامپيوتر خود را ترك كنيد و پس از بازگشت با پيغام " زمان جلسه به اتمام رسيده است – لطفاً دوباره وارد شويد" روبرو شويد. اين يك نمونه خوب از مديريت جلسه است. در واقع شما در يك مدت‌زمان مشخص در صورت عدم فعاليت به‌صورت خودكار از سيستم خارج خواهيد شد. اين كار باعث مي‌شود تا تهديداتي از قبيل جاسوسي از كامپيوتر شما و مشاهده اطلاعات حساب بي‌نتيجه باقي بماند.
اين مورد و ساير موارد مديريت جلسه بايد در مورد برنامه‌هاي كاربردي كه دسترسي به داده‌هاي حساس را دارند اعمال گردد.
خطر امنيتي هفتم – تصميمات امنيتي از طريق ورودي‌هاي نامطمئن
شايد فكر كنيد ورودي‌هايي از قبيل كوكي‌ها، متغيرهاي محيطي و فرم‌هاي مخفي موجود در گوشي شما غيرقابل تغيير و تنظيم مجدد هستند، اما اين يك تصور كاملاً اشتباه است! يك مهاجم مي‌تواند اين نوع از ورودي‌ها را تغيير دهد و نكته مهم اينجاست كه اين تغييرات ممكن است قابل‌تشخيص هم نباشند. زماني كه تصميمات امنيتي از قبيل احراز اصالت و نوع مجوزها بر اساس مقادير اين دست از ورودي‌ها اتخاذ و ساخته مي‌شوند بنابراين مهاجمان نيز مي‌توانند امنيت نرم‌افزارها را دور بزنند.
بدون رمزگذاري مناسب، بررسي جامعيت يا ديگر مكانيسم‌ها هر ورودي كه سرچشمه خارجي داشته باشد نمي‌تواند قابل‌اعتماد باشد.
 خطر امنيتي هشتم – نشت داده از كانال جانبي
در رمزنگاري – استراتژي‌هاي متنوعي در رمزگذاري مورداستفاده قرار مي‌گيرند. حمله كانال جانبي: حملاتي كه به‌منظور به دست آوردن اطلاعات از طريق اجراي فيزيكي سيستم رمزگذاري صورت مي‌پذيرند بيشتر از حملات brute force يا پيدا كردن نقاط ضعف موجود در الگوريتم رمزنگاري باشد.
بررسي دقيق ازنظر چگونگي انتقال داده و زمان و مكان انتقال آن توسط مهاجمان مي‌تواند منجر به شناسايي و بهره‌برداري از حفره‌هاي امنيتي گردد.
خطر امنيتي نهم – شكستن رمزنگاري
سيستم‌هاي رمزگذاري دائماً در حال تغيير و تحول هستند زيرا آن‌ها هميشه رمزگشايي و يا شكسته مي‌شوند.
نسبت به قدرت، پايا بودن و عدم شكسته شدن الگوريتم رمزنگاري كه از آن استفاده مي‌كنيد اطمينان حاصل كنيد. نقاط ضعف يك الگوريتم را مي توان با استفاده از ابزارها و تكنيك‌هايي كه نيازمند تحليل دستي و با مشاركت انسان است، انجام داد. اين تكنيك‌ها شامل آزمون‌هاي نفوذ، مدل كردن تهديدات و ابزارهاي تعاملي است و به كاربر اجازه ثبت و تنظيم يك جلسه فعال را مي‌دهد.
خطر امنيتي دهم – افشاي اطلاعات حساس
از بين 9 مورد گفته شده، اين مورد از اهميت بيشتري برخوردار است.
زماني كه برنامه‌هاي كاربردي، سيستم‌ها و الگوريتم‌هاي رمزنگاري ساخته مي‌شوند يا توسط شركت‌ها مورداستفاده قرار مي‌گيرند، هك و يا شكسته خواهند شد، در اين زمان داده شما مي‌تواند در معرض خطر قرار گيرد. هنگامي‌كه داده‌هاي حساس فاش شوند، افراد سودجو مي‌توانند اين داده‌ها را در پايگاه‌هاي داده و سيستم‌هاي خود ذخيره كنند و به حساب‌هاي كاربري، كارت‌هاي اعتباري، نام‌هاي كاربري، گذر‌واژه‌ها و بسياري ديگر از داده‌هاي حساس شما دسترسي داشته باشند.
جستجوي داده به‌منظور شناسايي آسيب‌پذيري‌هايي كه از نقص موجود در برنامه‌هاي كاربردي و نوع خدمات شركت‌ها منجر مي‌شود، شما را در برابر اين دست از خطرات مصون نگاه خواهد داشت.