a/64344 :کد

0

۱۰ خطر امنيتي در کمین گوشي‌ هاي هوشمند

  شنبه ۲۱ فروردین ۱۳۹۵ — ۱۰:۰۲
تعداد بازدید : ۲۱۹   
 تحلیل ایران -۱۰ خطر امنيتي در کمین گوشي‌ هاي هوشمند

۱۰ خطر امنيتي مربوط به گوشي هاي هوشمند عنوان شده كه دانستن اين خطرات مي ‌تواند ما را در حفاظت از داده‌ هاي حساس خودمان و توسعه‌ دهندگان برنامه كاربردي را نسبت به ايمن ‌سازي برنامه‌هايشان كمك كند.

 

10 خطر امنيتي مربوط به گوشي هاي هوشمند عنوان شده كه دانستن اين خطرات مي ‌تواند ما را در حفاظت از داده‌ هاي حساس خودمان و توسعه‌ دهندگان برنامه كاربردي را نسبت به ايمن ‌سازي برنامه‌هايشان كمك كند.

به گزارش تحلیل ایران،اين روزها زيرساختهاي فناوري اطلاعات و ارتباطات روند پيشرفت و توسعه را به ‌سرعت طي مي ‌كنند و به ‌تبع آن كاربران نيز از بستر موجود به‌ ويژه اينترنت و ديگر فناوري‌هاي ارتباطي بهره‌مند خواهند شد.به همين خاطر تمايل افراد نسبت به بهره‌مندي از همراه بانك ‌ها و تجارت الكترونيك رو به افزايش است. با اين وجود راه براي افراد سودجو باز خواهد بود. كافي است كاربران گوشي ‌هاي هوشمند موارد امنيتي و هشدارهاي داده شده را نسبت به افزايش امنيت گوشي هوشمند خود در نظر داشته باشند.

1) ذخيره داده به‌صورت ناامن
ذخيره داده به صورت ناامن مي ‌تواند منجر به از دست رفتن داده‌ هاي كاربر به هنگام گم‌ شدن گوشي همراه شود. گاهي اوقات ما از يك دستگاه براي استفاده چند كاربر بهره مي بريم و در صورت نصب يك برنامه كاربردي ناامن در دستگاه، تمام كاربران در معرض خطر قرار خواهند گرفت .

 

ایرنا نوشت: داده ‌هايي كه در دستگاه اندرويدي ذخيره مي‌شوند و به ‌صورت بالقوه در معرض خطر قرار خواهند گرفت به شرح زير است:


نام ‌هاي كاربري، توكن ‌هاي احراز اصالت، گذرواژه ‌ها، كوكي ‌ها، داده ‌هاي موقعيت مكاني، UDID/EMEI، نام دستگاه، نام شبكه متصل شده ، اطلاعات شخصي: DoB، آدرس، داده‌هاي كارت ‌هاي اعتباري، داده ‌هاي برنامه كاربردي


همچنين لاگ‌ هاي ذخيره شده برنامه كاربردي، اطلاعات ديباگ، پيام ‌هاي به‌ دست‌ آمده از برنامه كاربردي و تاريخچه تراكنش‌ ها مي باشد.

2) كنترل ‌هاي ضعيف از سمت سرور
سرورهايي كه برنامه كاربردي شما بايد به آن دسترسي داشته باشد نيازمند يكسري فاكتورهاي امنيتي است تا مانع از دستيابي كاربران غيرمجاز به داده كاربر اصلي شوند.درصورت عدم تأمين كنترل در سمت سرور و امكان دسترسي برنامه كاربردي شما به آنها، داده ‌هاي شما در معرض خطر قرار خواهد گرفت.

3) حفاظت ناكافي لايه انتقال
به هنگام طراحي يك برنامه كاربردي براي گوشي همراه، در زمان اجرا، اين برنامه كاربردي داده‌ ها را از طريق يك سرور كلاينت جابه‌جا خواهدكرد. در واقع اين نوع از داده‌ ها از طريق شبكه و اينترنت منتقل خواهند شد.اگر كدنويسي اين برنامه كاربردي ضعيف باشد و نتواند فاكتورهاي امنيتي را برآورده نمايد'عوامل تهديد' مي‌توانند با استفاده از تكنيك‌ هايي، داده‌ هاي حساس را به هنگام عبور از خطوط ارتباط مشاهده نمايند.


عوامل تهديد شامل موارد زير خواهند بود:
كاربران محلي در شبكه شما (نظارت Wi-Fi)، حامل‌ ها يا دستگاه ‌هاي شبكه (روترها، دكل‌ هاي مخابراتي، پروكسي ‌ها و غيره) و بدافزارهايي كه از قبل روي گوشي كاربر وجود داشته ‌اند

4) تزريق از جانب كلاينت
برنامه ‌هاي كاربردي اندرويد از جانب كلاينت دانلود و اجرا خواهند شد. يعني كد برنامه كاربردي روي دستگاه كاربر قرار خواهد گرفت. مهاجمان مي‌توانند با بارگذاري حملات ساده‌ 'متن محور' را در هر منبع داده تزريق نمايند، اين منابع مي‌ توانند فايل ‌ها يا خود برنامه ‌هاي كاربردي باشند.
حملات تزريق از جمله تزريق SQL روي دستگاه‌ هاي كلاينت مي‌ تواند در صورت وجود چندين حساب كاربري روي يك برنامه كاربردي يا يك دستگاه به اشتراك گذاشته شده تشديد پيدا كنند.

5) ضعف مجوز و احراز اصالت
برنامه ‌هاي كاربردي و سيستم‌ هايي كه به آنها متصل هستيد بايد به بهترين شكل از نظر تفويض مجوز و فرآيند احراز اصالت محافظت شوند. اين كار موجب مي‌شود تا (سيستم‌ ها، كاربران و دستگاه‌ ها) براي انتقال داده در زمان فعاليت برنامه كاربردي داراي اختيار و مجوز قانوني باشند و در صورت عدم وجود چنين شرايطي سيستم‌ ها، كاربران و دستگاه ‌هاي غيرمجاز توانايي اين كار را نداشته باشند و مسدود شوند.

6) مديريت نادرست لايه جلسه
ممكن است براي شما هم اتفاق افتاده باشد كه در حين بررسي حساب بانكي خود از طريق كامپيوتر، كاري پيش‌ آمده باشد و ميز كامپيوتر خود را ترك كنيد و پس از بازگشت با پيغام ' زمان جلسه به اتمام رسيده است - لطفاً دوباره وارد شويد' روبرو شويد. اين يك نمونه خوب از مديريت جلسه است. در واقع شما در يك مدت ‌زمان مشخص در صورت عدم فعاليت به‌ صورت خودكار از سيستم خارج خواهيد شد.اين كار باعث مي‌شود تا تهديداتي از قبيل جاسوسي از كامپيوتر شما و مشاهده اطلاعات حساب بي‌ نتيجه باقي بماند.اين مورد و ساير موارد مديريت جلسه بايد در مورد برنامه ‌هاي كاربردي كه دسترسي به داده‌ هاي حساس را دارند اعمال شود.

7) تصميمات امنيتي از طريق ورودي‌ هاي نامطمئن
شايد فكر كنيد ورودي ‌هايي از قبيل كوكي‌ ها، متغيرهاي محيطي و فرم‌ هاي مخفي موجود در گوشي شما غيرقابل تغيير و تنظيم مجدد هستند، اما اين يك تصور كاملاً اشتباه است! يك مهاجم مي‌ تواند اين نوع از ورودي‌ ها را تغيير دهد و نكته مهم اينجاست كه اين تغييرات ممكن است قابل‌ تشخيص هم نباشند.زماني كه تصميمات امنيتي از قبيل احراز اصالت و نوع مجوزها بر اساس مقادير اين دست از ورودي ‌ها اتخاذ و ساخته مي ‌شوند بنابراين مهاجمان نيز مي ‌توانند امنيت نرم‌افزارها را دور بزنند.بدون رمزگذاري مناسب، بررسي جامعيت يا ديگر مكانيسم‌ ها هر ورودي كه سرچشمه خارجي داشته باشد نمي‌تواند قابل‌اعتماد باشد.

8) نشت داده از كانال جانبي
در رمزنگاري – استراتژي ‌هاي متنوعي در رمزگذاري مورد استفاده قرار مي ‌گيرند. حمله كانال جانبي: حملاتي كه به‌منظور به دست آوردن اطلاعات از طريق اجراي فيزيكي سيستم رمزگذاري صورت مي‌ پذيرند بيشتر از حملات brute force يا پيدا كردن نقاط ضعف موجود در الگوريتم رمزنگاري باشد.بررسي دقيق از نظر چگونگي انتقال داده و زمان و مكان انتقال آن توسط مهاجمان مي‌ تواند منجر به شناسايي و بهره ‌برداري از حفره ‌هاي امنيتي شود.

9) شكستن رمزنگاري
سيستم‌ هاي رمزگذاري دائماً در حال تغيير و تحول هستند زيرا آنها هميشه رمزگشايي و يا شكسته مي‌ شوند.نسبت به قدرت، پايا بودن و عدم شكسته شدن الگوريتم رمزنگاري كه از آن استفاده مي ‌كنيد اطمينان حاصل كنيد.نقاط ضعف يك الگوريتم را مي توان با استفاده از ابزارها و تكنيك‌ هايي كه نيازمند تحليل دستي و با مشاركت انسان است، انجام داد. اين تكنيك‌ها شامل آزمون ‌هاي نفوذ، مدل كردن تهديدات و ابزارهاي تعاملي است و به كاربر اجازه ثبت و تنظيم يك جلسه فعال را مي ‌دهد.

10) افشاي اطلاعات حساس
از بين 9 مورد گفته شده، اين مورد از اهميت بيشتري برخوردار است. زماني كه برنامه‌ هاي كاربردي، سيستم‌ ها و الگوريتم ‌هاي رمزنگاري ساخته مي‌ شوند يا توسط شركت ‌ها مورداستفاده قرار مي ‌گيرند، هك و يا شكسته خواهند شد، در اين زمان داده شما مي‌ تواند در معرض خطر قرار گيرد.

 

هنگامي ‌كه داده‌ هاي حساس فاش شوند، افراد سودجو مي‌ توانند اين داده ‌ها را در پايگاه ‌هاي داده و سيستم‌ هاي خود ذخيره كنند و به حساب‌ هاي كاربري، كارت‌ هاي اعتباري، نام‌ هاي كاربري، گذر‌واژه ‌ها و بسياري ديگر از داده ‌هاي حساس شما دسترسي داشته باشند.جستجوي داده به‌ منظور شناسايي آسيب‌ پذيري‌ هايي كه از نقص موجود در برنامه‌ هاي كاربردي و نوع خدمات شركت‌ ها منجر مي‌شود، شما را در برابر اين دست از خطرات مصون نگاه خواهد داشت.

 

                               



  ارسال نظر جدید:
      نام :        (در صورت تمایل)

      ایمیل:      (در صورت تمایل) - (نشان داده نمی شود)

     نظر :