علیرغم سرمایهگذاری مناسب بانکها بر روی مسائل امنیتی در خصوص حوزههای مختلف فناوری اطلاعات، بنظر می رسد ایشان هنوز موضوع امنیت اپلیکیشن های موبایلی را جدی نگرفتهاند. در برخی از این اپلیکیشن ها که به لحاظ ماهیتی بسیار مهم هستند، میتوان با صرف زمان کوتاهی به اطلاعات محرمانه و حساس دست پیدا نمود. در این یادداشت سعی می کنیم تا با نگاهی دقیقتر نسبت به آسیب پذیری های امنیتی اپلیکیشن های مذکور و همچنین تبین باورهای غلط در میان برنامه نویسان و مدیران این موسسات مالی، توجه دست اندرکاران را به اهمیت و ضرورت امن سازی اپلیکیشن خود جلب نماییم.
نویسنده: میلاد یداللهی
دسته بندی: امنیت برنامه های موبایل
بسیاری از برنامهنویسان موبایل بر این باورند که اپلیکیشنهای ایشان دارای سطحی مناسب از امنیت هستند که از سوی ارائهدهنده پلتفرم (بویژه iOS) تضمین شده است. آنها عموما تصور میکنند که امکان دستکاری (Tampering) اپلیکیشن وجود ندارد و یا خیلی کم است. از سوی دیگر هرگونه تغییر اپلیکیشن که منجر به دورزدن مکانیزمهای امنیتی شود، میتواند موجب تبعات جبران ناپذیری گردد. در این مقاله با اجرای حملات دستکاری کد برای یک اپلیکیشن واقعی در هر دو پلتفرم، سعی میکنیم این باور غلط را تبیین نموده و همچنین راهکارهای امنسازی اپلیکیشن در برابر این آسیبپذیریها را بیان نماییم.
اصل اول در امنیت به این نکته اشاره دارد که هیچگاه به امنیت در سمت کاربر، مطمئن نباشید؛ زیرا آنجا نه شرایط محیطی و نه رفتار کاربر تحت کنترل شما نیست. اگر شما نیز جزء آن دسته از توسعه دهندگانی هستید که فکر می کنند تمهیدات امنیتی ای نظیر هاردکد کردن (Hard Coding) اطلاعات حساس در فایل build.gradle، برنامه را از مهندسی معکوس محافظت می کند، باید بدانید که این تفکر صحیح نیست! در این مقاله، نحوه کار یک مهاجم در انجام مهندسی معکوس و دسترسی یا تغییر در متن برنامه اپلیکیشنها معرفی و برخی از روشها و ابزارهای امن ساز در برابر این آسیب پذیری معرفی خواهد شد.
نویسنده: علی مهرآبادی
تهدیدات سایبری بر روی اپلیکیشنهای موبایلی روز به روز در حال افزایش است. بر اساس مطالعات مؤسسه Verizone، بیش از 40% از شرکتهای تحت بررسی طی سال گذشته مورد حمله سایبری قرار گرفته اند. نفوذگران بیش از همیشه به دنبال یافتن اپلیکیشنهای آسیب پذیر و سوء استفاده از آنها (با مهندسی معکوس (Reverse Engineering) برنامه و یا استفاده از آسیب پذیری های حین اجرا (Runtime)) هستند و به همین دلیل نرخ تراکنشهای تقلبی به شدت رو به فزونی است. از طرفی وابستگی سازمانها و کسب و کارها به اپلیکیشنهای موبایلی نیز روز به روز در حال افزایش است و بنابراین لازم است به امنیت آنها به عنوان الزامی جهت تداوم کسب و کار، توجه ویژه شود.
درهم ریزی Obfuscation سورس کد، معروفترین راهکار امنیتی جهت جلوگیری از دستکاری اپلیکیشن های موبایل و حملات بدخواهانه توسط هکرها است. در این میان استفاده از ابزار متن باز Proguard جهت اجرای عملیات درهم ریزی اسامی/نام ها در میان برنامه نویسان بسیار متداول می باشد. در این مقاله ضمن معرفی تکنینک های مختلف امن سازی سورس کد اپلیکیشن های موبایل اندرویدی، توضیح خواهیم داد که چرا درهم ریزی نام ها به عنوان یک تکنیک امنیتی، نمی تواند به تنهایی ما را در برابر بسیاری از حملات متداول هکرها در حوزه اپلیکیشن های موبایل محافظت نماید.
در میان اپلیکیشنهای موبایلی، امنیت اپهای حوزه بانکی و صنعت پرداخت که در آنها اطلاعات مالی و حساس مشتریان مبادله میشود، دارای اهمیتی ویژه است. در این پژوهش تلاش شده است تا با بررسی شرایط امنیتی اپلیکیشنهای صنعت بانکداری و فعالان نظام پرداخت جمهوری اسلامی ایران و مقایسه آن با شرایط جهانی، دورنمایی از وضعیت امنیتی آنها ارائه شود. نتایج کسبشده نشان میدهد، متأسفانه امنیت بعنوان یک عامل اتکا و اعتماد مشتریان، توسط قسمت عمده فعالان این صنعت جدی گرفته نمیشود. در پایان نیز پیشنهاداتی جهت بهبود شرایط امنیتی این اپلیکیشنها ارائه شده است.
با افزایش فناوری های امنیتی برای اپلیکیشنهای موبایل استفاده از روشهای جدید توسط نفوذگران گسترش پیدا کرده است. در این مطلب به یکی از این آسیب پذیری ها که از قابلیت پلاگین استفاده می نماید، به عنوان نمونهای خطرناک از گسترش روشهای مبتکرانه توسط نفوذگران اشاره می کنیم.
نویسنده: امیر احمدی دارانی
راه اندازی و اعمال تنظیمات ابزار امنیت برنامه های اندروید دکسگارد، در محیط های مختلف برنامه نویسی بسیار آسان است. در این مطلب به چگونگی راه اندازی DexGuard در Android Studio به عنوان محبوب ترین محیط برنامه نویسی اندروید در میان توسعه دهندگان اپلیکیشن های موبایل و معرفی افزونه ابزار دکسگارد برای این محیط می پردازیم.