ارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش اول)- برنامه ریزی (قسمت 1)

ارزیابی امنیتی برنامه های کاربردی تلفن همراه (بخش اول)- برنامه ریزی (قسمت 1)
در حال حاضر استفاده از دستگاه های تلفن همراه برای کارهای روزانه شرکت امری فراگیر است. دستگاه های BYOD یا دستگاه های سیار برای انجام کارهای سازمان ها استفاده می شوند.
در این سری مقالات به راه هایی پرداخته می شود که سازمان ها به کمک آن ها می توانند برنامه های کاربردی تلفن همراه کارمندان را ارزیابی نمایند و امنیت سازمان را ارتقاء دهند.
تعداد زیاد برنامه های کاربردی منتشر شده و محصولاتی مختلفی که سطوح متفاوت امنیت را پیشنهاد می دهند به همراه عدم تجربه سازمان ها برای به کارگیری محصولات خوب و مناسب باعث شده است تا مخاطرات زیادی محیط این نوع سازمان ها را تهدید نماید.
برنامه های کاربردی دستگاه های تلفن همراه، پردازش و دسترسی به داده های شرکت باعث می شود تا سازمان ها با خطرات امنیتی بالقوه مواجه شوند.
امروزه سازمان های زیادی از دستگاه های پردازش سیار استفاده می کنند اما در صورتیکه امنیت داده ها و دسترسی امن به منابع فراهم نشود، سازمان ها در معرض خطر حملات سایبری و افشای اطلاعات قرار خواهند گرفت.
تنها دستگاه ها نیستند که نیاز به امنیت دارند بلکه برنامه های کاربردی و داده های پردازش شده و ذخیره شده بر روی دستگاه ها نیز باید امن باشند زیرا برنامه های کاربردی این قابلیت را دارند که امکان بروز حملات امنیتی بالقوه را ایجاد کنند. بسیاری از سازمان ها از وجود این نوع خطرات با خبر نیستند و ممکن است به قابلیت های برنامه ها بیشتر از امنیت آن ها توجه نمایند.
معمولا برنامه های کاربردی در دسترس همگان قرار دارند و به راحتی بر روی دستگاه ها نصب و اجرا می شوند. متاسفانه حدود دو سوم از این برنامه ها در برابر تست های ساده امنیتی مردود شده اند.
تصور سازمان ها بر این است که این برنامه های کاربردی به صورت امن تولید شده اند و به صورت پیش فرض امن خواهند بود در صورتیکه اکثریت آن ها خط مشی های امنیتی سازمان ها را رعایت نمی کنند و هیچ گونه اطلاع رسانی امنیتی ندارند. این تصور اشتباه مربوط به عدم تجربه سازمان ها در حوزه امنیت تلفن همراه و عدم بلوغ آن ها در خصوص استراتژی های تست تلفن همراه می باشد. از طرف دیگر سرعت بالای پیشرفت و ارتقاء برنامه های کاربردی و تبلیغات خوب قابلیت های آن ها، سازمان ها را به استفاده از این ابزارها ترغیب می کند.
تولید کنندگان برنامه های کاربردی می توانند میلیون ها کاربر را با سرعت جذب نمایند در حالیکه این افراد بی تجربه هستند و ضرورت تست امنیتی این برنامه ها برای اطمینان از میزان امن بودن نرم افزارها را نمی دانند. این برنامه های کاربردی با نقص های فراوان بر روی فروشگاه های اینترنتی قرار می گیرند و دستگاه ها و شبکه سازمان ها را در معرض خطر حملات سایبری قرار می دهند.
سازمان ها باید از میزان امنیت برنامه های کاربردی باخبر باشند و قبل از استفاده، امنیت این برنامه ها را ارزیابی کنند و قبل از توجه به کارکرد و قابلیت های برنامه ها به امنیت آن توجه نمایند.
رویه ارزیابی برنامه های کاربردی باید به عنوان بخشی از استراتژی های امنیتی کلی سازمان ها در نظر گرفته شود.
در این سری مقالات ارزیابی برنامه های کاربری در سه بخش برنامه ریزی، تست برنامه های کاربردی و قبول یا رد برنامه های کاربردی به تفصیل شرح داده خواهد شد.
انواع آسیب پذیری های موجود در برنامه های کاربردی دستگاه های تلفن همراه
تعداد آسیب پذیری ها و ضعف هایی که سازمان ها را بواسطه استفاده از برنامه های کاربردی تلفن همراه در معرض خطر قرار می دهند زیاد است. برخی از این آسیب پذیری ها رایج تر از بقیه است و برخی دیگر خطرات بیشتری را برای سازمان ها به وجود می آورد.
این آسیب پذیری ها مدام در حال تغییر است و هر روزه آسیب پذیری های جدیدتری کشف می شود. برخی از آسیب پذیری های بالقوه ای که سعی می شود در این سری مقالات در تست برنامه ها مورد توجه قرار گیرد شامل موارد زیر می گردد:
1. آسیب پذیری هایی که بواسطه مجوزهای نادرست ایجاد می شود.
2. ارتباطات افشاء شده داخلی و خارجی ( بلوتوث، GPS، NFC)، (در ارتباطات داخلی برنامه های کاربردی می توانند داده ها را جمع آوری کرده و اطلاعات جدید را وارد نمایند. ارتباطات خارجی باعث به وجود آمدن حملات افشای اطلاعات می شود).
3. قابلیت های خطرناک (کارکردهای ناخواسته می تواند سبب به وجود آمدن خروجی های پیش بینی نشده، تخریب منابع و حملات انکار سرویس شود).
4. تبانی برنامه های کاربردی
5. آسیب پذیری های پرخطر نامعلوم (عملکردهای پنهان شده از کاربر، کتابخانه های خارجی، فراخوان های بازگشتی و کدهای بسته بندی شده)
6. آسیب پذیری های قدیمی نرم افزارها (تمامی آسیب پذیری های قدیمی مربوط به جاوا)
7. آسیب پذیری ها و مسائل حریم خصوصی
در قسمت بعدی این مقاله در خصوص سه مرحله برنامه ریزی توضیح داده خواهد شد.
منابع:

http://www.windowsecurity.com/

 

مسعود هاتف پور

 
print
1394/3/20
تعداد مشاهده:  441

avt.NavXp