ایتنا- استفاده از اپلیکیشنهای موبایل میتواند کاربران را در معرض حملات سایبری قرار دهد.
شنبه ۲۳ خرداد ۱۳۹۴ ساعت ۱۵:۱۱
افشای اطلاعات با بلوتوث
دو سوم اپلیکیشنها در تست امنیت مردود میشوند
تولیدکنندگان اپلیکیشنهای موبایل بهراحتی میتوانند میلیونها کاربر در جهان را به سرعت جذب کنند که این برنامهها به دلیل بیتجربگی کاربران، میتواند سازمانها را در معرض خطر حملات سایبری قرار دهد.
به گزارش ایتنا از مرکز ماهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای – ماهر- در ارزیابی امنیتی از برنامههای کاربردی تلفن همراه – اپلیکیشن- نسبت به خطرات استفاده بدون اطلاع از این برنامهها به ویژه در سازمانها و شرکتها هشدار داد.
در حال حاضر استفاده از دستگاههای موبایل برای کارهای روزانه شرکت امری فراگیر محسوب میشود و اغلب کارمندان سازمانها از اپلیکیشنها بر روی دستگاههای خود استفاده میکنند که این موضوع در صورتی که بدون رعایت نکات امنیتی صورت گیرد میتواند امنیت سازمان را به مخاطره بیاندازد.
عدم تجربه سازمانها در بکارگیری اپلیکیشنها
تعداد زیاد اپلیکیشنهای منتشر شده و محصولاتی مختلفی که سطوح متفاوت امنیت را پیشنهاد میدهند به همراه عدم تجربه سازمانها برای به کارگیری محصولات خوب و مناسب باعث شده است تا مخاطرات زیادی محیط این نوع سازمانها را تهدید کند؛ به نحوی که این برنامههای کاربردی با پردازش و دسترسی به اطلاعات و دادههای شرکت باعث میشود تا سازمانها با خطرات امنیتی بالقوه مواجه شوند.
امروزه سازمانهای زیادی از دستگاههای پردازش سیار استفاده میکنند اما در صورتیکه امنیت دادهها و دسترسی امن به منابع فراهم نشود، سازمانها در معرض خطر حملات سایبری و افشای اطلاعات قرار خواهند گرفت.
در همین حال تنها دستگاهها نیستند که نیاز به امنیت دارند بلکه برنامههای کاربردی و دادههای پردازش شده و ذخیره شده بر روی دستگاهها نیز باید امن باشند زیرا اپلیکیشنها این قابلیت را دارند که امکان بروز حملات امنیتی بالقوه را ایجاد کنند.
بسیاری از سازمانها از وجود این نوع خطرات با خبر نیستند و ممکن است به قابلیتهای برنامهها بیشتر از امنیت آنها توجه کنند.
دو سوم اپلیکیشنها در تست امنیت مردود شدهاند
مرکز ماهر اعلام کرد: معمولا برنامههای کاربردی در دسترس همگان قرار دارند و به راحتی بر روی دستگاهها نصب و اجرا میشوند.
متاسفانه حدود دو سوم از این برنامهها در برابر تستهای ساده امنیتی مردود شدهاند.
تصور سازمانها بر این است که این اپلیکیشنها به صورت امن تولید شدهاند و به صورت پیش فرض امن خواهند بود در صورتیکه اکثریت آنها خط مشیهای امنیتی سازمانها را رعایت نمیکنند و هیچ گونه اطلاع رسانی امنیتی ندارند.
این تصور اشتباه مربوط به عدم تجربه سازمانها در حوزه امنیت تلفن همراه و عدم بلوغ آنها در خصوص استراتژیهای تست موبایل است؛ از طرف دیگر سرعت بالای پیشرفت و ارتقاء برنامههای کاربردی و تبلیغات خوب قابلیتهای آنها، سازمانها را به استفاده از این ابزارها ترغیب میکند.
تولیدکنندگان برنامههای کاربردی میتوانند میلیونها کاربر را با سرعت جذب کنند، در حالیکه این افراد بیتجربه هستند و ضرورت تست امنیتی این برنامهها برای اطمینان از میزان امن بودن نرمافزارها را نمیدانند.
این اپلیکیشنها با نقصهای فراوان بر روی فروشگاههای اینترنتی قرار میگیرند و دستگاهها و شبکه سازمانها را در معرض خطر حملات سایبری قرار میدهند.
به همین دلیل سازمانها باید از میزان امنیت برنامههای کاربردی باخبر باشند و قبل از استفاده، امنیت این برنامهها را ارزیابی کنند، حتی قبل از توجه به کارکرد و قابلیتهای برنامهها به امنیت آن توجه کنند؛ همچنین رویه ارزیابی برنامههای کاربردی باید به عنوان بخشی از استراتژیهای امنیتی کلی سازمانها در نظر گرفته شود.
انواع آسیبپذیریهای موجود در اپلیکیشنها
تعداد آسیبپذیریها و ضعفهایی که سازمانها را بواسطه استفاده از اپلیکیشنهای موبایل در معرض خطر قرار میدهند زیاد است.
برخی از این آسیبپذیریها رایجتر از بقیه است و برخی دیگر خطرات بیشتری را برای سازمانها به وجود میآورد.
این آسیبپذیریها مدام در حال تغییر است و هر روزه آسیبپذیریهای جدیدتری کشف میشود. برخی از آسیبپذیریهای بالقوه شامل موارد زیر است.
۱. آسیب پذیریهایی که بواسطه مجوزهای نادرست ایجاد میشود.
۲. ارتباطات افشاء شده داخلی و خارجی از طریق بلوتوث، GPS و NFC البته در ارتباطات داخلی برنامههای کاربردی میتوانند دادهها را جمعآوری کرده و اطلاعات جدید را وارد کنند اما ارتباطات خارجی باعث به وجود آمدن حملات افشای اطلاعات میشود.
۳. قابلیتهای خطرناک (کارکردهای ناخواسته میتواند سبب به وجود آمدن خروجیهای پیشبینی نشده، تخریب منابع و حملات انکار سرویس شود.
۴. تبانی برنامههای کاربردی
۵. آسیبپذیریهای پرخطر نامعلوم (عملکردهای پنهان شده از کاربر، کتابخانههای خارجی، فراخوانهای بازگشتی و کدهای بستهبندی شده.
۶. آسیبپذیریهای قدیمی نرمافزارها (تمامی آسیبپذیریهای قدیمی مربوط به سیستمعامل جاوا)
۷. آسیبپذیریها و مسائل حریمخصوصی
کد مطلب: 36555
