در سالهای اخیر رشد استفاده از تلفن های هوشمند و برنامه های موبایلی بویژه در بستر سیستم عامل اندروید بسیار گسترش یافته و پیش بینی می شود تعداد و کاربرد اپلیکیشن های موبایلی در حوزه های مختلف در آینده نیز با سیر صعودی همراه باشد. با توجه به متن باز بودن اندروید، نگرانی های امنیتی همواره در خصوص برنامه های موبایلی بر روی این بستر مورد توجه بوده است. برنامه های موبایلی روی دستگاههای تلفن همراه نصب می شوند و بنابراین تحت اختیار کامل صاحبان معنوی قرار ندارند. بنابراین ممکن است یک هکر بتواند به سادگی به آن نفوذ کرده و به شکلهای مختلف (از جمله مهندسی معکوس و تغییر در متن کد) و انتشار مجدد آن، از آن سوء استفاده نماید. همچنین بدافزارهای مختلف می توانند به برنامه نصب شده در زمان اجرا نفوذ کرده و به اطلاعات مهم آن دسترسی یابند. شکل زیر تعدادی از مهمترین آسیبهای امنیتی برنامه های موبایلی را نشان می دهد.
ویژگی های منحصر بفرد آزمونگر (MSST)
- بهره گیری و پوشش کامل استانداردها و متدهای روز دنیا در حوزه آسیبپذیری های موبایلی
- به روزرسانی مستمر پایگاه داده آسیب پذیری ها و متدهای نفوذ
- اجرای تست های همزمان اپلیکیشن ها با بازدهی بالا و در کوتاه ترین زمان
- بدون نیاز به تخصص ویژه در حوزه امنیت اطلاعات و کاربری آسان
- اجرای کلیه تست های امنیتی در سه حوزه پویش آسیبپذیری ها، ارزیابی امنیتی و ارزیابی ریسک به صورت اتوماتیک
- اجرای تست های امنیتی به صورت کاملا جعبه سیاه و تنها با ارائه فایل apk نرم افزار
حوزه های امنیتی مورد بررسی در آزمونگر
ارزیابی امنیت
- اطلاعات اپلیکیشن
- تست مجوزهای دسترسی
- تست عملکردی
- شناسایی عبارات و کلمات حساس
- شناسایی ویروس ها
- شناسایی SDK های شخص ثالث
- شناسایی SDK های تبلیغاتی
ارزیابی ریسک
- مهندسی معکوس کدهای جاوا
- دسترسی به فایل های Shared Objects (.so)
- دستکاری و ریپکیجینگ
- حملات تزریق کد پویا و ربودن تصاویر
- لاگرهای کلید و پروتکل ناامن لایه انتقال
- امنیت وب ویو: ذخیره کلمات عبور به صورت متن ساده
- ارائه گواهی های دیجیتال به صورت متن ساده
- افشاء اطلاعات از طریق دیباگ لاگها
- نمایش فایل های منابع
- حملات پویای دیباگر
- امنیت کامپوننت اکتیویتی و سرویس
- امنیت BroadcastReceiver و ContentProvider
- کنترل تاییدیه امضای اپلیکیشن
- فایل های پشتیبانی/بازگردانی محافظتنشده
- بازخوانی توابع حساس و ضمنی کامپوننت
- ریسک دیباگ پویا در لایه جاوا
- بارگذاری فایل .dex از کارت های SD
پویش آسیب پذیری های امنیتی
- امنیت وب ویو: اجرای کدها از راه دور
- تزریق کد SQL
- نشت اطلاعات ContentProvider
- کنترل حالت الگوریتم رمزنگاری
- اعتبارسنجی گواهی SSL
- دانلود محدودنشده apk از طریق اپلیکیشن
- فایل های قابل خواندن و نوشتن
- حملات انکار سرویس (DOS) درون ابزاری
- اطلاعات تست شبکه داخلی
- امنیت وب ویو: دورزدن اعتبارسنجی گواهی
- کنترل آُیب پذیری عدد تصادفی
- حملات ساختار URL
- حملات تزریق Fragment