آزمونگر امنیتی برنامه های موبایلیMSST

در سال‌های اخیر، رشد چشمگیر استفاده از تلفن‌های هوشمند و اپلیکیشن‌های موبایلی، به‌ویژه در بستر سیستم‌عامل اندروید، تحولی بزرگ در دنیای فناوری ایجاد کرده است. پیش‌بینی می‌شود که این روند صعودی در سال‌های آینده نیز ادامه یابد و اپلیکیشن‌های موبایلی نقش پررنگ‌تری در زندگی روزمره و صنایع مختلف ایفا کنند.

با این حال، ماهیت متن‌باز اندروید باعث شده تا نگرانی‌های امنیتی در خصوص برنامه‌های موبایلی این بستر همواره مورد توجه باشد. اپلیکیشن‌ها پس از نصب روی دستگاه کاربر، از کنترل کامل توسعه‌دهنده خارج می‌شوند و در معرض تهدیداتی همچون مهندسی معکوس، دستکاری کد، انتشار غیرمجاز و نفوذ بدافزارها قرار می‌گیرند. این تهدیدات می‌توانند امنیت داده‌ها و عملکرد برنامه را به خطر بیندازند.

ویژگی های منحصر بفرد آزمونگر (MSST)
شرکت آشنا ایمن با تکیه بر تجربه و دانش فنی چندساله خود در حوزه امنیت اطلاعات، ابزار آزمونگر امنیت برنامه‌های موبایلی (MSST) را توسعه داده است.
این ابزار یک بستر هوشمند و خودکار برای تست، ارزیابی و پایش امنیتی اپلیکیشن‌های اندرویدی است که به سازمان‌ها و توسعه‌دهندگان کمک می‌کند تا به‌صورت دقیق و سریع، نقاط ضعف امنیتی اپلیکیشن‌های خود را شناسایی و برطرف کنند.
 

  • پوشش کامل بر اساس استانداردها و متدولوژی‌های بین‌المللی در حوزه امنیت موبایل

  • به‌روزرسانی مستمر پایگاه داده آسیب‌پذیری‌ها و روش‌های نفوذ

  • اجرای تست‌های همزمان با بازدهی بالا و در کوتاه‌ترین زمان ممکن

  • رابط کاربری ساده بدون نیاز به دانش تخصصی امنیتی

  • انجام کلیه آزمون‌های امنیتی به‌صورت خودکار در سه بخش:

    • پویش آسیب‌پذیری‌ها

    • ارزیابی امنیتی

    • ارزیابی ریسک

  • اجرای تست‌ها به‌صورت جعبه‌سیاه (Black Box) تنها با ارائه فایل APK برنامه

در متدولوژی آشنا ایمن، بسته به فناوری‌ها و محدوده تعریف‌شده آزمون نفوذ، از ماژول‌های متنوعی همچون شبکه، اپلیکیشن و زیرساخت‌های مرتبط استفاده می‌شود.
این رویکرد امکان ارزیابی چندلایه و جامع از امنیت اپلیکیشن را فراهم می‌کند.

 

راهنمای بین‌المللی OWASP Mobile Security Testing Guide (MSTG) ده دسته اصلی از آسیب‌پذیری‌های امنیتی در برنامه‌های موبایلی را معرفی کرده است، از جمله:

insecure Authorization

این آسیب پذیری به ضعف در اعتبار سنجی دسترسی های مورد نیاز از سمت سرور (سرویس دهنده) مربوط است.

Client Code Quality

که به کیفیت کد برنامه و رعایت نکات مختلفی چون buffer overflow اشاره دارد.

Insecure Authentication

که به مدیریت ناصحیح صفحات (sessions) و اعتبارسنجی دسترسی ها (از سمت کلاینت) اشاره دارد.

Improper Platform Usage

که به عدم استفاده صحیح از تنظیمات امنیتی سیستم عامل موبایل اشاره دارد.

Insecure Data Storage

که ناشی از عدم ذخیره سازی ایمن داده ها بر روی موبایل و نشت اطلاعات از این محل می باشد.

Insecure Communication

که ناشی از ارتباطات غیر ایمن بین برنامه موبایلی و سرویس دهنده متناظر آن است.

Reverse Engineering

هکرها ممکن است به سادگی با Decompile کردن برنامه ها، به کد منبع آنها دست پیدا کرده و متن کد را تغییر دهند.

Extraneous Functionality

ایجاد دسترسی های خاص برای توسعه دهندگان در زمان توسعه و تست یک برنامه، امری متداول است که این دسترسی ها در زمان عرضه عمومی محصول، حذف می شوند. ممکن است برخی از این دسترسی ها در زمان انتشار محصول حذف نشده باشند.

Code Tampering

بعد از نصب برنامه بر روی دستگاه موبایل، هکرها ممکن است به بخشهای مختلف آن مانند APIهایی که برنامه با آنها ارتباط برقرار می کند و همینطور داده ها و منابعی که برنامه به آنها دسترسی دارد، دسترسی یافته و آنها را تغییر دهند.

آشنا ایمن با بهره گیری از تجارب چندین ساله خود در حوزه امنیت اطلاعات، ابزار آزمونگر امنیتی برنامه های موبایلی (MSST) را ارائه می دهد. این ابزار قدرتمند به عنوان یک بستر خودکار برای تست و پایش اپلیکیشن های اندروید و مدیریت موارد امنیتی در آنها بکار گرفته می شود. هدف اصلی این بستر ایجاد یک ابزار جامع و اتوماتیک برای تست امنیتی راه حل های تحت موبایل و کمک به توسعه دهندگان در جهت شناسایی ضعف های امنیتی و ارائه روش هایی برای برطرف نمودن آسیب‌پذیری های کشف شده در برنامه های خود می باشد.
“آزمونگر” یک ابزار بسیار کارآمد، کاربرپسند و سریع برای کسانی است که می خواهند امنیت برنامه های موبایلی خود را با استفاده از به روز ترین پایگاه داده تهدیدات امنیتی موبایلی در سطح جهان سنجش کرده و مخاطرات احتمالی آنرا بشناسند. “آزمونگر” همچنین ضمن دسته بندی آسیب پذیری های احتمالی در 42 گروه و اولویت بندی آنها، راههای امن سازی هر یک از این آسیب پذیری ها را نیز به کاربران ارائه می نماید.

حوزه های امنیتی مورد بررسی در آزمونگر

ارزیابی امنیت|

  • اطلاعات اپلیکیشن
  • تست مجوزهای دسترسی
  • تست عملکردی
  • شناسایی عبارات و کلمات حساس
  • شناسایی ویروس ها
  • شناسایی SDK های شخص ثالث
  • شناسایی SDK های تبلیغاتی

ارزیابی ریسک|

  • مهندسی معکوس کدهای جاوا
  • دسترسی به فایل های Shared Objects (.so)
  • دستکاری و ریپکیجینگ
  • حملات تزریق کد پویا و ربودن تصاویر
  • لاگرهای کلید و پروتکل ناامن لایه انتقال
  • امنیت وب ویو: ذخیره کلمات عبور به صورت متن ساده
  • ارائه گواهی های دیجیتال به صورت متن ساده
  • افشاء اطلاعات از طریق دیباگ لاگ‌ها
  • نمایش فایل های منابع
  • حملات پویای دیباگر
  • امنیت کامپوننت اکتیویتی و سرویس
  • امنیت BroadcastReceiver و ContentProvider
  • کنترل تاییدیه امضای اپلیکیشن
  • فایل های پشتیبانی/بازگردانی محافظت‌نشده
  • بازخوانی توابع حساس و ضمنی کامپوننت
  • ریسک دیباگ پویا در لایه جاوا
  • بارگذاری فایل .dex از کارت های SD

پویش آسیب پذیری های امنیتی|

  • امنیت وب ویو: اجرای کدها از راه دور
  • تزریق کد SQL
  • نشت اطلاعات ContentProvider
  • کنترل حالت الگوریتم رمزنگاری
  • اعتبارسنجی گواهی SSL
  • دانلود محدودنشده apk از طریق اپلیکیشن
  • فایل های قابل خواندن و نوشتن
  • حملات انکار سرویس (DOS) درون ابزاری
  • اطلاعات تست شبکه داخلی
  • امنیت وب ویو: دورزدن اعتبارسنجی گواهی
  • کنترل آُیب پذیری عدد تصادفی
  • حملات ساختار URL
  • حملات تزریق Fragment
سوالات متداول
ورود به سامانه
دانلود کاتالوگ