ابزار امن سازی اپلیکیشن هایiOS iXGuard
بسیاری از برنامه های موبایلی که تحت سیستم عامل iOS نوشته می شوند، در برابر مهندسی معکوس و کپی برداری شدن، مصون نیستند. نفوذگرها و مهاجمین می توانند با استفاده از ابزارهای متعددی (که به سادگی نیز در دسترس هستند) آسیب پذیری های موجود در برنامه شما را شناسایی نموده و آن را مورد سوء استفاده قرار دهند. در این صورت سرقت اطلاعات، دسترسی به حساب های کاربری افراد و خواندن پیام های شخصی به سادگی امکانپذیر خواهد شد.
محصول iXGuard محصول شرکت گارداسکوئر با نمایندگی انحصاری شرکت آشنا ایمن در ایران، جهت محافظت از برنامه های توسعه یافته با زبانهای Swift و Objective-C در برابر مهندسی معکوس تولید و عرضه شده است. این ابزار قدرتمند و جهانی که از جایگاه منحصر به فرد و بی رقیبی در حوزه امن سازی اپلیکیشن های موبایل برخوردار است، برنامه های شما را در برابر شبیه سازی شدن، کپی برداری، تغییر و یا استخراج کلیدهای امنیتی استفاده شده در برنامه توسط دیگران مقاوم می کند و به آنها اجازه سوء استفاده را نمی دهد.
با استفاده از لایه های امنیتی مختلفی نظیر رمزنگاری و درهم سازی (Obfuscation) رشته ها، ایجاد پیچیدگی در عملیات ریاضی، درهم سازی و ایجاد پیچیدگی در جریان منطقی برنامه و همچنین درهم ریزی کلیه نام ها که در iXGuard پیش بینی شده است، دسترسی به منطق داخلی برنامه شما توسط دیگران، تقریباً غیر ممکن خواهد شد. این امنیت به ویژه در حوزه هایی که با اطلاعات شخصی افراد سر و کار دارد (مانند بانکداری، تجارت الکترونیک، سلامت و شبکه های اجتماعی) بسیار حائز اهمیت است.
سرقت اطلاعات، دسترسی به حساب های کاربری افراد، پی بردن به مکان شخص، خواندن پیام های شخصی، مخدوش کردن اعتبار و از بین رفتن مزیتهای رقابتی صاحبان اپلیکیشن تنها بخشی از تبعات سوء استفاده از آسیب پذیری های اپلیکیشنهای موبایلی است.
خیلیها بر این باورند که پلتفرم Apple iOS از این نظر دارای امنیت بالاتری است. اما متأسفانه باید گفت که این تصور رایج کاملاً اشتباه است و به طور کلی، یک اپلیکیشن iOS به همان اندازه که اپلیکیشن های اندرویدی امکان دستکاری دارند، مستعد تحلیل هکرها و اعمال تغییرات سودجویانه است. سرقت اطلاعات، دسترسی به حساب های کاربری افراد و خواندن پیام های شخصی در این اپلیکیشنها نیز امکانپذیر است. لذا لازم است فارغ از پلتفرم و محیط توسعه اپلیکیشنهای iOS، از روشها و ابزار مناسب جهت امن سازی آن بهره برد.
برخلاف تصور رایج، پلتفرم Apple iOS بهتنهایی امنیت کامل را تضمین نمیکند. همانگونه که اپلیکیشنهای اندرویدی در معرض خطر مهندسی معکوس و حملات زمان اجرا هستند، برنامههای iOS نیز میتوانند توسط مهاجمان تحلیل، تغییر یا سوءاستفاده شوند.
از این رو، صرفنظر از فناوری یا محیط توسعه، ضروری است که اپلیکیشنهای iOS نیز با ابزارهای حرفهای مانند iXGuard در برابر تهدیدات امنیتی محافظت شوند.
معرفی Guardsquare
ابزارهای مختلفی برای امن سازی اپلیکیشنهای موبایلی در برابر آسیب پذیری های شناخته شده وجود دارد که بصورت گسترده ای در سطح جهان مورد استفاده قرار می گیرند. بیشترین سهم را در این میان، محصولات شرکت Guardsqure دارند.
شرکت آشنا ایمن از سال 1395 بعنوان نماینده انحصاری Guardsquare در منطقه، محصولات مختلف این شرکت را در پلتفرمهای اندروید و iOS ارائه می کند.
قابلیت های iXGuard
قابلیتهای عملیاتی این محصول شامل 4 گروه زیر است:
امن سازی در برابر تهدیدات استاتیکی که خود شامل مکانیزمهای مختلفی مانند موارد زیر است:
- مبهم سازی (Obfuscation) اسامی در کلیه سطوح (فیلدها، متدها، توابع، دارایی ها، منابع و …)، روالهای محاسباتی، جریان منطقی برنامه، کدهای پایه، توابع کتابخانه ای، فراخوانی ها ، منابع و …
- رمزنگاری (Encryption) کلیه المانها نظیر کلاس ها، رشته ها و متن ها، asset ها، فایل های منبع (resource)، وب نماهای سفارشی و …
امن سازی در برابر تهدیدات زمان اجرا (RASP) که شامل روشهای متعدد مانند موارد زیر می باشد:
- Jailbreak Detection
- Hook Detection
- Resigning Detection
امن سازی در برابر تهدیدات ناشی از شنود ترافیک در سطح شبکه با استفاده از مکانیزمهایی مانند:
- SSL Pinning
- WebView SSL Pinning
بهینه سازی کد (مانند کاهش حجم اپلیکیشن و بهبود سرعت اجرای آن)
انطباق با استانداردهای امنیتی
انطباق اپلیکیشنهای iOS با الزامات استانداردهای امنیتی بینالمللی مانند
PCI-DSS، PSD2 و OWASP Mobile Security Project، یکی از دغدغههای اصلی تیمهای امنیت و توسعه است.
iXGuard با ارائهی مکانیزمهای چندلایهی رمزنگاری و ضدمهندسی، به مالکان اپلیکیشن کمک میکند تا از انطباق کامل با الزامات امنیتی PCI و سایر چارچوبهای بینالمللی اطمینان حاصل کنند.
این موضوع بهویژه برای اپلیکیشنهای پرداخت موبایلی اهمیت دارد، زیرا اطمینان میدهد که دادههای کاربر، تراکنشها و منطق برنامه در برابر دستکاری یا سوءاستفاده محافظت میشوند.
(جدول زیر در سایت نحوهی پوشش الزامات PCI توسط iXGuard را بهصورت خلاصه نمایش میدهد.)
امکان استفاده از این محصول تقریباً در تمامی پلتفرمها و فناوری های توسعه اپلیکیشنهای موبایلی مانند XCode و یا اپلیکیشنهای هیبریدی وجود دارد.
