ایتنا- با خواندن این ده خطر امنیتی در گوشیهای هوشمند اطلاعات دادههای خساس خود را حفاظت کنید.
10 خطر امنیتی در گوشیهای هوشمند
خبرگزاری ايرنا , 21 فروردين 1395 ساعت 12:05
ایتنا- با خواندن این ده خطر امنیتی در گوشیهای هوشمند اطلاعات دادههای خساس خود را حفاظت کنید.
۱۰خطر امنیتی مربوط به گوشیهای هوشمند عنوان شده كه دانستن این خطرات میتواند ما را در حفاظت از دادههای حساس خودمان و توسعهدهندگان برنامه كاربردی را نسبت به ایمنسازی برنامههایشان كمك كند.
به گزارش ایتنا از از مركز ماهر، این روزها زیرساختهای فناوری اطلاعات و ارتباطات روند پیشرفت و توسعه را به سرعت طی میكنند و به تبع آن كاربران نیز از بستر موجود به ویژه اینترنت و دیگر فناوریهای ارتباطی بهرهمند خواهند شد.
به همین خاطر تمایل افراد نسبت به بهرهمندی از همراه بانكها و تجارت الكترونیك رو به افزایش است. با این وجود راه برای افراد سودجو باز خواهد بود. كافی است كاربران گوشیهای هوشمند موارد امنیتی و هشدارهای داده شده را نسبت به افزایش امنیت گوشی هوشمند خود در نظر داشته باشند.
۱) ذخیره داده بهصورت ناامن
ذخیره داده به صورت ناامن میتواند منجر به از دست رفتن دادههای كاربر به هنگام گم شدن گوشی همراه شود. گاهی اوقات ما از یك دستگاه برای استفاده چند كاربر بهره میبریم و در صورت نصب یك برنامه كاربردی ناامن در دستگاه، تمام كاربران در معرض خطر قرار خواهند گرفت .
دادههایی كه در دستگاه اندرویدی ذخیره میشوند و به صورت بالقوه در معرض خطر قرار خواهند گرفت به شرح زیر است:
نامهای كاربری، توكنهای احراز اصالت، گذرواژهها، كوكیها، دادههای موقعیت مكانی، UDID/EMEI، نام دستگاه، نام شبكه متصل شده ، اطلاعات شخصی: DoB، آدرس، دادههای كارتهای اعتباری، دادههای برنامه كاربردی همچنین لاگهای ذخیره شده برنامه كاربردی، اطلاعات دیباگ، پیامهای به دست آمده از برنامه كاربردی و تاریخچه تراكنشها میباشد.
۲) كنترلهای ضعیف از سمت سرور
سرورهایی كه برنامه كاربردی شما باید به آن دسترسی داشته باشد نیازمند یكسری فاكتورهای امنیتی است تا مانع از دستیابی كاربران غیرمجاز به داده كاربر اصلی شوند.
درصورت عدم تأمین كنترل در سمت سرور و امكان دسترسی برنامه كاربردی شما به آنها، دادههای شما در معرض خطر قرار خواهد گرفت.
۳) حفاظت ناكافی لایه انتقال
به هنگام طراحی یك برنامه كاربردی برای گوشی همراه، در زمان اجرا، این برنامه كاربردی دادهها را از طریق یك سرور كلاینت جابهجا خواهدكرد. در واقع این نوع از دادهها از طریق شبكه و اینترنت منتقل خواهند شد.
اگر كدنویسی این برنامه كاربردی ضعیف باشد و نتواند فاكتورهای امنیتی را برآورده نماید'عوامل تهدید' میتوانند با استفاده از تكنیكهایی، دادههای حساس را به هنگام عبور از خطوط ارتباط مشاهده نمایند.
عوامل تهدید شامل موارد زیر خواهند بود:
كاربران محلی در شبكه شما (نظارت Wi-Fi)، حامل ها یا دستگاههای شبكه (روترها، دكلهای مخابراتی، پروكسیها و غیره) و بدافزارهایی كه از قبل روی گوشی كاربر وجود داشتهاند.
۴) تزریق از جانب كلاینت
برنامههای كاربردی اندروید از جانب كلاینت دانلود و اجرا خواهند شد. یعنی كد برنامه كاربردی روی دستگاه كاربر قرار خواهد گرفت. مهاجمان میتوانند با بارگذاری حملات ساده 'متن محور' را در هر منبع داده تزریق نمایند، این منابع میتوانند فایلها یا خود برنامههای كاربردی باشند.
حملات تزریق از جمله تزریق SQL روی دستگاههای كلاینت میتواند در صورت وجود چندین حساب كاربری روی یك برنامه كاربردی یا یك دستگاه به اشتراك گذاشته شده تشدید پیدا كنند.
۵) ضعف مجوز و احراز اصالت
برنامههای كاربردی و سیستمهایی كه به آنها متصل هستید باید به بهترین شكل از نظر تفویض مجوز و فرآیند احراز اصالت محافظت شوند. این كار موجب میشود تا (سیستمها، كاربران و دستگاهها) برای انتقال داده در زمان فعالیت برنامه كاربردی دارای اختیار و مجوز قانونی باشند و در صورت عدم وجود چنین شرایطی سیستمها، كاربران و دستگاههای غیرمجاز توانایی این كار را نداشته باشند و مسدود شوند.
۶) مدیریت نادرست لایه جلسه
ممكن است برای شما هم اتفاق افتاده باشد كه در حین بررسی حساب بانكی خود از طریق كامپیوتر، كاری پیش آمده باشد و میز كامپیوتر خود را ترك كنید و پس از بازگشت با پیغام ' زمان جلسه به اتمام رسیده است - لطفاً دوباره وارد شوید' روبرو شوید. این یك نمونه خوب از مدیریت جلسه است. در واقع شما در یك مدت زمان مشخص در صورت عدم فعالیت به صورت خودكار از سیستم خارج خواهید شد.
این كار باعث میشود تا تهدیداتی از قبیل جاسوسی از كامپیوتر شما و مشاهده اطلاعات حساب بینتیجه باقی بماند.
این مورد و سایر موارد مدیریت جلسه باید در مورد برنامههای كاربردی كه دسترسی به دادههای حساس را دارند اعمال شود.
۷) تصمیمات امنیتی از طریق ورودیهای نامطمئن
شاید فكر كنید ورودیهایی از قبیل كوكیها، متغیرهای محیطی و فرمهای مخفی موجود در گوشی شما غیرقابل تغییر و تنظیم مجدد هستند، اما این یك تصور كاملاً اشتباه است! یك مهاجم میتواند این نوع از ورودیها را تغییر دهد و نكته مهم اینجاست كه این تغییرات ممكن است قابل تشخیص هم نباشند.
زمانی كه تصمیمات امنیتی از قبیل احراز اصالت و نوع مجوزها بر اساس مقادیر این دست از ورودیها اتخاذ و ساخته میشوند بنابراین مهاجمان نیز میتوانند امنیت نرمافزارها را دور بزنند.
بدون رمزگذاری مناسب، بررسی جامعیت یا دیگر مكانیسمها هر ورودی كه سرچشمه خارجی داشته باشد نمیتواند قابلاعتماد باشد.
۸) نشت داده از كانال جانبی
در رمزنگاری – استراتژیهای متنوعی در رمزگذاری مورد استفاده قرار میگیرند. حمله كانال جانبی: حملاتی كه بهمنظور به دست آوردن اطلاعات از طریق اجرای فیزیكی سیستم رمزگذاری صورت میپذیرند بیشتر از حملات brute force یا پیدا كردن نقاط ضعف موجود در الگوریتم رمزنگاری باشد.
بررسی دقیق از نظر چگونگی انتقال داده و زمان و مكان انتقال آن توسط مهاجمان میتواند منجر به شناسایی و بهرهبرداری از حفرههای امنیتی شود.
۹) شكستن رمزنگاری
سیستمهای رمزگذاری دائماً در حال تغییر و تحول هستند زیرا آنها همیشه رمزگشایی و یا شكسته میشوند.
نسبت به قدرت، پایا بودن و عدم شكسته شدن الگوریتم رمزنگاری كه از آن استفاده میكنید اطمینان حاصل كنید.
نقاط ضعف یك الگوریتم را می توان با استفاده از ابزارها و تكنیكهایی كه نیازمند تحلیل دستی و با مشاركت انسان است، انجام داد. این تكنیكها شامل آزمونهای نفوذ، مدل كردن تهدیدات و ابزارهای تعاملی است و به كاربر اجازه ثبت و تنظیم یك جلسه فعال را میدهد.
۱۰) افشای اطلاعات حساس
از بین ۹ مورد گفته شده، این مورد از اهمیت بیشتری برخوردار است. زمانی كه برنامههای كاربردی، سیستمها و الگوریتمهای رمزنگاری ساخته میشوند یا توسط شركتها مورداستفاده قرار میگیرند، هك و یا شكسته خواهند شد، در این زمان داده شما میتواند در معرض خطر قرار گیرد.
هنگامی كه دادههای حساس فاش شوند، افراد سودجو میتوانند این دادهها را در پایگاههای داده و سیستمهای خود ذخیره كنند و به حسابهای كاربری، كارتهای اعتباری، نامهای كاربری، گذرواژهها و بسیاری دیگر از دادههای حساس شما دسترسی داشته باشند.
جستجوی داده به منظور شناسایی آسیبپذیریهایی كه از نقص موجود در برنامههای كاربردی و نوع خدمات شركتها منجر میشود، شما را در برابر این دست از خطرات مصون نگاه خواهد داشت.
کد مطلب: 42139
آدرس مطلب: https://www.itna.ir/news/42139/10-خطر-امنیتی-گوشی-های-هوشمند