تست نفوذپذیری اپلیکیشنهای موبایلی

در دنیای امروز، سازمان‌ها وابستگی زیادی به فناوری اطلاعات دارند. برای آن‌ها ضرورت دارد که از اطلاعات حیاتی‌شان محافظت کنند. این محافظت جدا از جنبه های فیزیکی، نیازمند ارزیابی های جامع دیگری نیز هست تا صاحبان کسب و کارها را از بابت امنیت در برابر نفوذهای غیر قانونی، مطمئن سازد. این اطلاعات می‌توانند در زمینه‌های مالی، تحقیق و توسعه، پرسنلی، قانونی و امنیتی باشند. سازمان‌ها با انجام ارزیابی‌های مختلف امنیتی بر روی داده‌های حساس، تهدیدات آن‌ها را شناسایی می‌کنند تا بتوانند از آن‌ها محافظت کنند. یکی از انواع ارزیابی‌های امنیتی، آزمون نفوذپذیری اپلیکیشن‌های موبایلی می‌باشد که در دسترس کاربران سازمان‌ها و ارگان‌های مختلف می‌باشد. امنیت اپلیکیشنهای موبایلی مانند امنیت شبکه و سرویسهای پایه IT و امنیت اپلیکیشنهای تحت وب، جهت اطمینان بخشی به مشتریان و ذینفعان، حائز اهمیت ویژه ای است. برای ارزیابی امنیتی اپلیکیشن‌های موبایلی متدولوژی‌های مختلفی وجود دارند که بر اساس تجربیات طولانی مدت کارشناسان این حوزه به این نتیجه رسیده‌اند که استاندارد OWASP کامل‌ترین گزینه ممکن می‌باشد تا اطمینان خاطر از امنیت اطلاعات و صحت و سلامت آن‌ها حاصل شود.

هدف از انجام ارزیابی اپلیکیشن‌های موبایلی، بررسی وضعیت امنیتی نرم افزارهاست. در ارزیابی‌های تیم آشنا ایمن تلاش می‌شود تمام مشکلات و آسیب‌پذیری‌های امنیتی برنامه شناسایی شود تا راه حل‌های مناسب ارائه و راهکارهای مناسب اتخاذ گردد.

برای این منظور دارایی‌های مشخص شده، بصورت همه جانبه و در تمام لایه‌ها و توسط چندین نرم‌افزار و اسکریپت‌های تخصصی آزمایشگاه آشنا ایمن مورد ارزیابی قرار می‌گیرند. همچنین علاوه بر آن‌ها، از تکنیک‌های private نیز برای افزایش صحت ارزیابی استفاده می‌شود.

تا اینجا کار می‌توان از اهداف اصلی ارزیابی بصورت زیر تعریفی داشته باشیم:

  • آیا این نرم‌افزار‌، امن است و می‌توانند حریم خصوصی افراد و سازمان را حفظ کند؟ آیا می‌تواند از اطلاعات محافظت کند؟
  • چگونه می‌توان آسیب‌پذیری‌ها را برطرف ساخت و وضعیت امنیتی را بهبود بخشید؟

استاندارد انتخابی آشنا ایمن در روند تست نفوذپذیری اپلیکیشن‌های موبایلی

OWASP، سازمان‌ها را مطمئن می‌سازد که نرم‌افزارهایی که تولید یا نگهداری می‌کنند، مورد اعتماد هستند. تمامی ابزارها، مستندات، فروم‌ها و دروس OWASP برای کسانیکه به افزایش امنیت نرم‌افزارها علاقمند هستند، رایگان و در دسترس هستند.

متدولوژی تست نفوذ OWASP، چندین سال است که توسعه یافته است. هدف این پروژه این است که افراد بتوانند درک خوبی از اینکه برنامه‌های کاربردی موبایل، چرا، چه زمانی، کجا، و چگونه مورد ارزیابی قرار گیرند، داشته باشند.

مجموعه تست‌های این حوزه به 8 زیرمجموعه تقسیم می‌شود:

  • معماری، طراحی و مدل سازی تهدید (Architecture, design and threat modelling)
  • تست فضای ذخیره‌سازی و حریم خصوصی (Data Storage and Privacy)
  • تست رمزنگاری (Cryptography)
  • تست احراز هویت و مدیریت نشست (Authentication and Session Management)
  • تست ارتباطات تحت شبکه (Network Communication)
  • تست تعامل پلت فرم (Platform Interaction)
  • تست کیفیت کد و ساخت تنظیمات (Code Quality and Build Settings)
  • موانع تحلیل پویا و تهاجم (Impede Dynamic Analysis and Tampering)

بررسیهای ما در آزمایشگاه ارزیابی امنیتی آشنا ایمن نشان می دهد که متأسفانه بسیاری از اپلیکیشنهای موجود در بازار (اعم از اپلیکیشنهای ایرانی و یا جهانی) دارای آسیب پذیری های فراوانی هستند (برای مطالعه نتایج، اینجا را کلیک کنید).

در نهایت پس از انجام ارزیابی امنیتی گزارشی تهیه و آماده می‌شود که خروجی ارزیابی تیم تست نفوذپذیری می‌باشد که شامل مواردی اعم از موارد زیر می‌شود:

  • توصیفی از آسیب پذیری و نحوه سوء استفاده احتمالی از آن
  • امتیاز دهی به آسیب پذیری بر اساس استانداردهای جهانی
  • رتبه بندی آسیب پذیری
  • شواهد وجود آسیب پذیری
  • علت وجود آسیب پذیری
  • راهکار رفع آسیب پذیری

تیم امن سازی با تکیه بر راهکارهای پیشنهادی برای رفع آسیب پذیری، قادر خواهد بود رخنه‌های امنیتی را مرتفع نموده و سامانه را در برابر حملات سایبری، محافظت نماید. بسیاری از این آسیب پذیری ها، با استفاده از ابزارهای امن سازی مانند DexGurad (برای پلتفرم اندروید) و iXGuard (برای پلتفرم iOS) قابل رفع هستند.

جهت آشنایی بیشتر با خدمات آشنا ایمن در حوزه امن سازی اپلیکیشنهای موبایلی به پورتال جامع امنیت برنامه های موبایلی مراجعه کنید.