تست نفوذپذیری اپلیکیشنهای موبایلی
در دنیای امروز، سازمانها وابستگی زیادی به فناوری اطلاعات دارند. برای آنها ضرورت دارد که از اطلاعات حیاتیشان محافظت کنند. این محافظت جدا از جنبه های فیزیکی، نیازمند ارزیابی های جامع دیگری نیز هست تا صاحبان کسب و کارها را از بابت امنیت در برابر نفوذهای غیر قانونی، مطمئن سازد. این اطلاعات میتوانند در زمینههای مالی، تحقیق و توسعه، پرسنلی، قانونی و امنیتی باشند. سازمانها با انجام ارزیابیهای مختلف امنیتی بر روی دادههای حساس، تهدیدات آنها را شناسایی میکنند تا بتوانند از آنها محافظت کنند. یکی از انواع ارزیابیهای امنیتی، آزمون نفوذپذیری اپلیکیشنهای موبایلی میباشد که در دسترس کاربران سازمانها و ارگانهای مختلف میباشد. امنیت اپلیکیشنهای موبایلی مانند امنیت شبکه و سرویسهای پایه IT و امنیت اپلیکیشنهای تحت وب، جهت اطمینان بخشی به مشتریان و ذینفعان، حائز اهمیت ویژه ای است. برای ارزیابی امنیتی اپلیکیشنهای موبایلی متدولوژیهای مختلفی وجود دارند که بر اساس تجربیات طولانی مدت کارشناسان این حوزه به این نتیجه رسیدهاند که استاندارد OWASP کاملترین گزینه ممکن میباشد تا اطمینان خاطر از امنیت اطلاعات و صحت و سلامت آنها حاصل شود.
هدف از انجام ارزیابی اپلیکیشنهای موبایلی، بررسی وضعیت امنیتی نرم افزارهاست. در ارزیابیهای تیم آشنا ایمن تلاش میشود تمام مشکلات و آسیبپذیریهای امنیتی برنامه شناسایی شود تا راه حلهای مناسب ارائه و راهکارهای مناسب اتخاذ گردد.
برای این منظور داراییهای مشخص شده، بصورت همه جانبه و در تمام لایهها و توسط چندین نرمافزار و اسکریپتهای تخصصی آزمایشگاه آشنا ایمن مورد ارزیابی قرار میگیرند. همچنین علاوه بر آنها، از تکنیکهای private نیز برای افزایش صحت ارزیابی استفاده میشود.
تا اینجا کار میتوان از اهداف اصلی ارزیابی بصورت زیر تعریفی داشته باشیم:
- آیا این نرمافزار، امن است و میتوانند حریم خصوصی افراد و سازمان را حفظ کند؟ آیا میتواند از اطلاعات محافظت کند؟
- چگونه میتوان آسیبپذیریها را برطرف ساخت و وضعیت امنیتی را بهبود بخشید؟
استاندارد انتخابی آشنا ایمن در روند تست نفوذپذیری اپلیکیشنهای موبایلی
OWASP، سازمانها را مطمئن میسازد که نرمافزارهایی که تولید یا نگهداری میکنند، مورد اعتماد هستند. تمامی ابزارها، مستندات، فرومها و دروس OWASP برای کسانیکه به افزایش امنیت نرمافزارها علاقمند هستند، رایگان و در دسترس هستند.
متدولوژی تست نفوذ OWASP، چندین سال است که توسعه یافته است. هدف این پروژه این است که افراد بتوانند درک خوبی از اینکه برنامههای کاربردی موبایل، چرا، چه زمانی، کجا، و چگونه مورد ارزیابی قرار گیرند، داشته باشند.
مجموعه تستهای این حوزه به 8 زیرمجموعه تقسیم میشود:
- معماری، طراحی و مدل سازی تهدید (Architecture, design and threat modelling)
- تست فضای ذخیرهسازی و حریم خصوصی (Data Storage and Privacy)
- تست رمزنگاری (Cryptography)
- تست احراز هویت و مدیریت نشست (Authentication and Session Management)
- تست ارتباطات تحت شبکه (Network Communication)
- تست تعامل پلت فرم (Platform Interaction)
- تست کیفیت کد و ساخت تنظیمات (Code Quality and Build Settings)
- موانع تحلیل پویا و تهاجم (Impede Dynamic Analysis and Tampering)
بررسیهای ما در آزمایشگاه ارزیابی امنیتی آشنا ایمن نشان می دهد که متأسفانه بسیاری از اپلیکیشنهای موجود در بازار (اعم از اپلیکیشنهای ایرانی و یا جهانی) دارای آسیب پذیری های فراوانی هستند (برای مطالعه نتایج، اینجا را کلیک کنید).
در نهایت پس از انجام ارزیابی امنیتی گزارشی تهیه و آماده میشود که خروجی ارزیابی تیم تست نفوذپذیری میباشد که شامل مواردی اعم از موارد زیر میشود:
- توصیفی از آسیب پذیری و نحوه سوء استفاده احتمالی از آن
- امتیاز دهی به آسیب پذیری بر اساس استانداردهای جهانی
- رتبه بندی آسیب پذیری
- شواهد وجود آسیب پذیری
- علت وجود آسیب پذیری
- راهکار رفع آسیب پذیری
تیم امن سازی با تکیه بر راهکارهای پیشنهادی برای رفع آسیب پذیری، قادر خواهد بود رخنههای امنیتی را مرتفع نموده و سامانه را در برابر حملات سایبری، محافظت نماید. بسیاری از این آسیب پذیری ها، با استفاده از ابزارهای امن سازی مانند DexGurad (برای پلتفرم اندروید) و iXGuard (برای پلتفرم iOS) قابل رفع هستند.
جهت آشنایی بیشتر با خدمات آشنا ایمن در حوزه امن سازی اپلیکیشنهای موبایلی به پورتال جامع امنیت برنامه های موبایلی مراجعه کنید.