ايتنا - 10 خطر امنیتی در گوشی‌‌های هوشمند

۱۰خطر امنیتی مربوط به گوشی‌های هوشمند عنوان شده كه دانستن این خطرات می‌تواند ما را در حفاظت از داده‌‌های حساس خودمان و توسعه‌‌دهندگان برنامه كاربردی را نسبت به ایمن‌سازی برنامه‌هایشان كمك كند.

به گزارش ایتنا از از مركز ماهر، این روزها زیرساخت‌های فناوری اطلاعات و ارتباطات روند پیشرفت و توسعه را به ‌سرعت طی می‌كنند و به ‌تبع آن كاربران نیز از بستر موجود به‌ ویژه اینترنت و دیگر فناوری‌های ارتباطی بهره‌مند خواهند شد.

به همین خاطر تمایل افراد نسبت به بهره‌مندی از همراه بانك‌ها و تجارت الكترونیك رو به افزایش است. با این وجود راه برای افراد سودجو باز خواهد بود. كافی است كاربران گوشی‌های هوشمند موارد امنیتی و هشدارهای داده شده را نسبت به افزایش امنیت گوشی هوشمند خود در نظر داشته باشند.

۱) ذخیره داده به‌صورت ناامن
ذخیره داده به صورت ناامن می‌تواند منجر به از دست رفتن داده‌‌های كاربر به هنگام گم‌ شدن گوشی همراه شود. گاهی اوقات ما از یك دستگاه برای استفاده چند كاربر بهره می‌بریم و در صورت نصب یك برنامه كاربردی ناامن در دستگاه، تمام كاربران در معرض خطر قرار خواهند گرفت .
داده‌هایی كه در دستگاه اندرویدی ذخیره می‌شوند و به ‌صورت بالقوه در معرض خطر قرار خواهند گرفت به شرح زیر است:
نام‌های كاربری، توكن‌های احراز اصالت، گذرواژه‌ها، كوكی‌ها، داده‌های موقعیت مكانی، UDID/EMEI، نام دستگاه، نام شبكه متصل شده ، اطلاعات شخصی: DoB، آدرس، داده‌های كارت‌های اعتباری، داده‌های برنامه كاربردی همچنین لاگ‌‌های ذخیره شده برنامه كاربردی، اطلاعات دیباگ، پیام‌های به‌ دست‌ آمده از برنامه كاربردی و تاریخچه تراكنش‌‌ها می‌باشد.

۲) كنترل‌های ضعیف از سمت سرور
سرورهایی كه برنامه كاربردی شما باید به آن دسترسی داشته باشد نیازمند یكسری فاكتورهای امنیتی است تا مانع از دستیابی كاربران غیرمجاز به داده كاربر اصلی شوند.
درصورت عدم تأمین كنترل در سمت سرور و امكان دسترسی برنامه كاربردی شما به آنها، داده‌های شما در معرض خطر قرار خواهد گرفت.

۳) حفاظت ناكافی لایه انتقال
به هنگام طراحی یك برنامه كاربردی برای گوشی همراه، در زمان اجرا، این برنامه كاربردی داده‌‌ها را از طریق یك سرور كلاینت جابه‌جا خواهدكرد. در واقع این نوع از داده‌‌ها از طریق شبكه و اینترنت منتقل خواهند شد.

اگر كدنویسی این برنامه كاربردی ضعیف باشد و نتواند فاكتورهای امنیتی را برآورده نماید'عوامل تهدید' می‌توانند با استفاده از تكنیك‌‌هایی، داده‌‌های حساس را به هنگام عبور از خطوط ارتباط مشاهده نمایند.
عوامل تهدید شامل موارد زیر خواهند بود:
كاربران محلی در شبكه شما (نظارت Wi-Fi)، حامل‌ ها یا دستگاه‌های شبكه (روترها، دكل‌‌های مخابراتی، پروكسی‌ها و غیره) و بدافزارهایی كه از قبل روی گوشی كاربر وجود داشته‌اند.

۴) تزریق از جانب كلاینت
برنامه‌های كاربردی اندروید از جانب كلاینت دانلود و اجرا خواهند شد. یعنی كد برنامه كاربردی روی دستگاه كاربر قرار خواهد گرفت. مهاجمان می‌توانند با بارگذاری حملات ساده‌ 'متن محور' را در هر منبع داده تزریق نمایند، این منابع می‌‌توانند فایل‌ها یا خود برنامه‌های كاربردی باشند.

حملات تزریق از جمله تزریق SQL روی دستگاه‌‌های كلاینت می‌‌تواند در صورت وجود چندین حساب كاربری روی یك برنامه كاربردی یا یك دستگاه به اشتراك گذاشته شده تشدید پیدا كنند.

۵) ضعف مجوز و احراز اصالت
برنامه‌های كاربردی و سیستم‌‌هایی كه به آنها متصل هستید باید به بهترین شكل از نظر تفویض مجوز و فرآیند احراز اصالت محافظت شوند. این كار موجب می‌شود تا (سیستم‌‌ها، كاربران و دستگاه‌‌ها) برای انتقال داده در زمان فعالیت برنامه كاربردی دارای اختیار و مجوز قانونی باشند و در صورت عدم وجود چنین شرایطی سیستم‌‌ها، كاربران و دستگاه‌های غیرمجاز توانایی این كار را نداشته باشند و مسدود شوند.

۶) مدیریت نادرست لایه جلسه
ممكن است برای شما هم اتفاق افتاده باشد كه در حین بررسی حساب بانكی خود از طریق كامپیوتر، كاری پیش‌ آمده باشد و میز كامپیوتر خود را ترك كنید و پس از بازگشت با پیغام ' زمان جلسه به اتمام رسیده است - لطفاً دوباره وارد شوید' روبرو شوید. این یك نمونه خوب از مدیریت جلسه است. در واقع شما در یك مدت ‌زمان مشخص در صورت عدم فعالیت به‌ صورت خودكار از سیستم خارج خواهید شد.

این كار باعث می‌شود تا تهدیداتی از قبیل جاسوسی از كامپیوتر شما و مشاهده اطلاعات حساب بی‌‌نتیجه باقی بماند.
این مورد و سایر موارد مدیریت جلسه باید در مورد برنامه‌های كاربردی كه دسترسی به داده‌‌های حساس را دارند اعمال شود.

۷) تصمیمات امنیتی از طریق ورودی‌‌های نامطمئن
شاید فكر كنید ورودی‌هایی از قبیل كوكی‌‌ها، متغیرهای محیطی و فرم‌‌های مخفی موجود در گوشی شما غیرقابل تغییر و تنظیم مجدد هستند، اما این یك تصور كاملاً اشتباه است! یك مهاجم می‌‌تواند این نوع از ورودی‌‌ها را تغییر دهد و نكته مهم اینجاست كه این تغییرات ممكن است قابل‌ تشخیص هم نباشند.

زمانی كه تصمیمات امنیتی از قبیل احراز اصالت و نوع مجوزها بر اساس مقادیر این دست از ورودی‌ها اتخاذ و ساخته می‌شوند بنابراین مهاجمان نیز می‌توانند امنیت نرم‌افزارها را دور بزنند.
بدون رمزگذاری مناسب، بررسی جامعیت یا دیگر مكانیسم‌‌ها هر ورودی كه سرچشمه خارجی داشته باشد نمی‌تواند قابل‌اعتماد باشد.

۸) نشت داده از كانال جانبی
در رمزنگاری – استراتژی‌های متنوعی در رمزگذاری مورد استفاده قرار می‌گیرند. حمله كانال جانبی: حملاتی كه به‌منظور به دست آوردن اطلاعات از طریق اجرای فیزیكی سیستم رمزگذاری صورت می‌‌پذیرند بیشتر از حملات brute force یا پیدا كردن نقاط ضعف موجود در الگوریتم رمزنگاری باشد.

بررسی دقیق از نظر چگونگی انتقال داده و زمان و مكان انتقال آن توسط مهاجمان می‌‌تواند منجر به شناسایی و بهره‌برداری از حفره‌های امنیتی شود.

۹) شكستن رمزنگاری
سیستم‌‌های رمزگذاری دائماً در حال تغییر و تحول هستند زیرا آنها همیشه رمزگشایی و یا شكسته می‌‌شوند.
نسبت به قدرت، پایا بودن و عدم شكسته شدن الگوریتم رمزنگاری كه از آن استفاده می‌كنید اطمینان حاصل كنید.
نقاط ضعف یك الگوریتم را می توان با استفاده از ابزارها و تكنیك‌‌هایی كه نیازمند تحلیل دستی و با مشاركت انسان است، انجام داد. این تكنیك‌ها شامل آزمون‌های نفوذ، مدل كردن تهدیدات و ابزارهای تعاملی است و به كاربر اجازه ثبت و تنظیم یك جلسه فعال را می‌دهد.

۱۰) افشای اطلاعات حساس
از بین ۹ مورد گفته شده، این مورد از اهمیت بیشتری برخوردار است. زمانی كه برنامه‌‌های كاربردی، سیستم‌‌ها و الگوریتم‌های رمزنگاری ساخته می‌‌شوند یا توسط شركت‌ها مورداستفاده قرار می‌گیرند، هك و یا شكسته خواهند شد، در این زمان داده شما می‌‌تواند در معرض خطر قرار گیرد.

هنگامی ‌كه داده‌‌های حساس فاش شوند، افراد سودجو می‌‌توانند این داده‌ها را در پایگاه‌های داده و سیستم‌‌های خود ذخیره كنند و به حساب‌‌های كاربری، كارت‌‌های اعتباری، نام‌‌های كاربری، گذر‌واژه‌ها و بسیاری دیگر از داده‌های حساس شما دسترسی داشته باشند.

جستجوی داده به‌ منظور شناسایی آسیب‌‌پذیری‌‌هایی كه از نقص موجود در برنامه‌‌های كاربردی و نوع خدمات شركت‌‌ها منجر می‌شود، شما را در برابر این دست از خطرات مصون نگاه خواهد داشت.