امنیت برنامه های موبایل
در طراحی اپلیکیشن مقالهها پیشین در حوزه امنیت نرم افزار های موبایلی، بیشتر قضیه امنیت گوشی را از منظر کسب و امور، گسترش دهندگان و برنامه نویس ها نرمافزار های موبایلی و چگونگی ایمن سازی این نرم افزار ها چک کردیم. درین خصوص مقاله ها آبادی زخم پذیری خطرناک نرمافزار های گوشی منتشر گردیده از سوی بنیاد OWASP، ارزیابی زخم پذیری های اپلیکیشن های موبایلی پرداخت و بانکی و همینطور معرفی ابزارهای ایمن سازی نرمافزار های گوشی نظیر Proguard و Dexguard در بستر اندروید و ابزار iXguard در بستر iOS مو جود میباشند. دراین مقاله قصد داریم با سود گیری از مقاله منتشر گردیده به وسیله راس حرفه ای به یکیاز موضوعات اصلی و محوری امنیت موبایلی از منظر کاربری بپردازیم. تعداد کاربرانی که هنگام نصب قابل انعطاف افزارها و نرم افزار های موبایلی, مجوزهای دسترسی آیتم درخواست از سوی نرمافزار را مطالعه مینمایند انگشتشمار میباشند و بیشتر اشخاص برخوردی معمولی و بیتفاوت بدین مجوزها دارا هستند. حالا آنکه ممکن میباشد برخی اپلیکیشنها دسترسیهایی را درخواست نمایند که ابدا به آنها نیاز نداشته باشند. دراین نوشته ی علمی به محاسبه این مجوزها و پیامدهای بی توجهی به آن ها میپردازیم.
تقسیم بندی دسترسی ها
در صدر بایستی تیتر کرد که مجوزهای اندروید یک درخواست نیستند بلکه یک اعلان یا این که اطلاعرسانی را به یوزرها اعلام میداراهستند. زمانیکه یک اپ کاربردی را از Play Store اخذ و نصب میکنیم یک پنجره پاپ آپ ظواهر میگردد که مجموع مجوزهای درخواستی اپ کاربردی موردنظر را به اکران میگذارد کهاین مجوزها میتوانند دسترسی به خاطر تلفن همراه موردنظر، تماسهای تلفنی، ارتباطات کانال و غیره را داشته باشند.
دراین خصوص فقط 235 جواز انحصاری و خاص وجود دارااست که بیشتر اپلیکیشنهای کاربردی مجوزهای متعددی را طلب مینمایند. بهطور ویژه مجوزهایی که نسبت به بقیه مجوزها شایعخیس می باشند به دو دسته تقسیم میگردند:
1- مجوزهایی که به اپلیکیشن کاربردی این اذن را می دهند تا به داده ها استفاده کننده دسترسی داشته باشند.
2- مجوزهایی که به نرمافزار کاربردی اذن می دهند تا بهشکل بی واسطه با دستگاه تعامل داشته باشند.
از 235 جواز انحصاری عدهآوریگردیده ، 165 نوع از آنان به نرم افزار کاربردی اذن میدهند تا با اجزای دشوارافزاری یک دستگاه تعامل داشته باشند و به نرم افزار اذن دسترسی دیگری ازجمله داده ها استفاده کننده را نخواهد بخشید.
بهتیتر نمونه دو مثال از همگانیترین مجوزها به نرم افزار کاربردی اذن اتصال به وب را میدهند. جواز "دسترسی بدون نقص به کانال" (که به وسیله 83% نرم افزارهای کاربردی مورداستفاده قرار می گیرند.) به نرمافزار کاربردی این اذن را میدهد تا با هر کانالای که دستگاه به آن متصل میباشد رابطه برقرار کند. درحالیکه جواز "مشاهده ارتباطات کانال" (که بوسیله 69% نرم افزارهای کاربردی مورداستفاده قرار میگیرند.) به نرم افزار کاربردی این اذن را می دهد تا هر کانالای که دستگاه به آن دسترسی داراست را ببیند. هر اپ کاربردی که درخواست دسترسی به وب را داشته باشد، بهمراد ارتقاء امکانهای خویش ممکن میباشد به هردو جواز "داده ها استفاده کننده" و "جواز دشوارافزار" نیاز داشته باشد. درحالیکهاین دو جواز بهشدت فراگیر میباشند البته اذن دسترسی بی واسطه به داده ها استفاده کننده را به نرم افزار کاربردی نمیدهند.
مثالهایی از کارکردهای این دست از مجوزها
در دست گرفتن لامپقوه – این جواز به نرم افزار کاربردی این اذن را میدهد تا با لامپ(مکان نما) مو جود در تلفن همراه هوشمند و یا این که رایانک مالشی تعامل داشته باشد. عموماً این لامپ مرتبط با دوربین عکاسی میباشد البته یک نرمافزار کاربردی توان استعمال از لامپ دوربین با قابلیت و امکان پرنور و یا این که خاموش نگاهداشتن ممتد برای ساخت یک "لامپقوه" را خواهد داشت.
پیکربندی تصاویر موضوع – این جواز به یک اپ کاربردی این اذن را خواهد بخشید تا یک تصویر را در پسقضیه برگهاکران خانگی یک دستگاه تهیه کند (معمولاً در دستگاههای بر پایه ی سیستمدلیل اندروید آن را "تصویر مورد" نیز مینامند).
در دست گرفتن لرزاننده – این جواز به یک نرمافزار کاربردی اذن در اختیار گرفتن لرزاننده که در بیشتر موبایلهای هوشمند وجود داراهستند را خواهد اعطا کرد.
این نوع از مجوزها خیلی هم بی آلایش و سطحی نیستند. در حالتیکه از این نوع از مجوزها بهصدق به کار گیری نشوند (و یا این که بهشکل مخرب به کارگیری شوند) یک اپ کاربردی با یکیاز این مجوزها میتواند بهشکل بالقوه برای دستگاه استفاده کننده فساد و تهدید تولید کند.
مثالهایی از این نوع مجوزها قادر است مجوزهایی باشند که به اپ کاربردی اذن می دهند تا تصاویر جان دار در کتابخانه تصاویر مخاطب را تغییر و تحول و یا این که حذف کند. مثال دیگر از این نوع مجوزها میتواند تلاوت لیست مخاطبان استفاده کننده نیز باشد.
درصورتی که بخواهیم بهشکل موردی تحلیل کنیم، مجوزی مثل مشاهده ارتباطات بیسیم ممکن میباشد داده ها بسیار پاره ای را برای اپلیکیشن کاربردی فاش کند البته یک اپلیکیشن کاربردی میتواند کانالهای بیسیم در دسترس را مشاهده نموده و داده هامبنا درباره ی آنهارا عدهآوری کند. در زمینهی نوع داده ها تودهآوریگردیده و مراد و غرض عدهآوری این دست از داده ها بایستی معین نمود که اپ موردنظر به چه منظوری و با چه نیتی این داده ها را عدهآوری کرده است تا معین خواهد شد چه نوع اطلاعاتی ازنظر مخاطب حساس و ضروری میباشند؛ براین اساس هرگونه داده ها از استفاده کننده قادر است بهشکل بالقوه حساس باشد و آیتم بررسی قرار گیرد.
5 مجوزی که می بایست نسبت به آنها محتاطخیس باشید
تعداد اندکی از مجوزها می باشند که می بایست در زمینه ی آنها احتیاط ما یحتاج را مبذول نمائید. ولی خیر به خیال و خاطر اینکه این نوع از مجوزها خطرناک می باشند، بلکه به این دلیلکه تفویض این نوع مجوزها ممکن میباشد پیامدهای وسیعی را برای استفاده کننده به یار و همدم خواهد داشت، ولی این پیامد هنگامی نتیجه ها شود که دادههای مخاطب در مشت فرد نادرستی قرار گیرند.
1
امنیت برنامه های موبایل
در طراحی اپلیکیشن مقالهها پیشین در حوزه امنیت نرم افزار های موبایلی، بیشتر قضیه امنیت گوشی را از منظر کسب و امور، گسترش دهندگان و برنامه نویس ها نرمافزار های موبایلی و چگونگی ایمن سازی این نرم افزار ها چک کردیم. درین خصوص مقاله ها آبادی زخم پذیری خطرناک نرمافزار های گوشی منتشر گردیده از سوی بنیاد OWASP، ارزیابی زخم پذیری های اپلیکیشن های موبایلی پرداخت و بانکی و همینطور معرفی ابزارهای ایمن سازی نرمافزار های گوشی نظیر Proguard و Dexguard در بستر اندروید و ابزار iXguard در بستر iOS مو جود میباشند. دراین مقاله قصد داریم با سود گیری از مقاله منتشر گردیده به وسیله راس حرفه ای به یکیاز موضوعات اصلی و محوری امنیت موبایلی از منظر کاربری بپردازیم. تعداد کاربرانی که هنگام نصب قابل انعطاف افزارها و نرم افزار های موبایلی, مجوزهای دسترسی آیتم درخواست از سوی نرمافزار را مطالعه مینمایند انگشتشمار میباشند و بیشتر اشخاص برخوردی معمولی و بیتفاوت بدین مجوزها دارا هستند. حالا آنکه ممکن میباشد برخی اپلیکیشنها دسترسیهایی را درخواست نمایند که ابدا به آنها نیاز نداشته باشند. دراین نوشته ی علمی به محاسبه این مجوزها و پیامدهای بی توجهی به آن ها میپردازیم.
تقسیم بندی دسترسی ها
در صدر بایستی تیتر کرد که مجوزهای اندروید یک درخواست نیستند بلکه یک اعلان یا این که اطلاعرسانی را به یوزرها اعلام میداراهستند. زمانیکه یک اپ کاربردی را از Play Store اخذ و نصب میکنیم یک پنجره پاپ آپ ظواهر میگردد که مجموع مجوزهای درخواستی اپ کاربردی موردنظر را به اکران میگذارد کهاین مجوزها میتوانند دسترسی به خاطر تلفن همراه موردنظر، تماسهای تلفنی، ارتباطات کانال و غیره را داشته باشند.
دراین خصوص فقط 235 جواز انحصاری و خاص وجود دارااست که بیشتر اپلیکیشنهای کاربردی مجوزهای متعددی را طلب مینمایند. بهطور ویژه مجوزهایی که نسبت به بقیه مجوزها شایعخیس می باشند به دو دسته تقسیم میگردند:
1- مجوزهایی که به اپلیکیشن کاربردی این اذن را می دهند تا به داده ها استفاده کننده دسترسی داشته باشند.
2- مجوزهایی که به نرمافزار کاربردی اذن می دهند تا بهشکل بی واسطه با دستگاه تعامل داشته باشند.
از 235 جواز انحصاری عدهآوریگردیده ، 165 نوع از آنان به نرم افزار کاربردی اذن میدهند تا با اجزای دشوارافزاری یک دستگاه تعامل داشته باشند و به نرم افزار اذن دسترسی دیگری ازجمله داده ها استفاده کننده را نخواهد بخشید.
بهتیتر نمونه دو مثال از همگانیترین مجوزها به نرم افزار کاربردی اذن اتصال به وب را میدهند. جواز "دسترسی بدون نقص به کانال" (که به وسیله 83% نرم افزارهای کاربردی مورداستفاده قرار می گیرند.) به نرمافزار کاربردی این اذن را میدهد تا با هر کانالای که دستگاه به آن متصل میباشد رابطه برقرار کند. درحالیکه جواز "مشاهده ارتباطات کانال" (که بوسیله 69% نرم افزارهای کاربردی مورداستفاده قرار میگیرند.) به نرم افزار کاربردی این اذن را می دهد تا هر کانالای که دستگاه به آن دسترسی داراست را ببیند. هر اپ کاربردی که درخواست دسترسی به وب را داشته باشد، بهمراد ارتقاء امکانهای خویش ممکن میباشد به هردو جواز "داده ها استفاده کننده" و "جواز دشوارافزار" نیاز داشته باشد. درحالیکهاین دو جواز بهشدت فراگیر میباشند البته اذن دسترسی بی واسطه به داده ها استفاده کننده را به نرم افزار کاربردی نمیدهند.
مثالهایی از کارکردهای این دست از مجوزها
در دست گرفتن لامپقوه – این جواز به نرم افزار کاربردی این اذن را میدهد تا با لامپ(مکان نما) مو جود در تلفن همراه هوشمند و یا این که رایانک مالشی تعامل داشته باشد. عموماً این لامپ مرتبط با دوربین عکاسی میباشد البته یک نرمافزار کاربردی توان استعمال از لامپ دوربین با قابلیت و امکان پرنور و یا این که خاموش نگاهداشتن ممتد برای ساخت یک "لامپقوه" را خواهد داشت.
پیکربندی تصاویر موضوع – این جواز به یک اپ کاربردی این اذن را خواهد بخشید تا یک تصویر را در پسقضیه برگهاکران خانگی یک دستگاه تهیه کند (معمولاً در دستگاههای بر پایه ی سیستمدلیل اندروید آن را "تصویر مورد" نیز مینامند).
در دست گرفتن لرزاننده – این جواز به یک نرمافزار کاربردی اذن در اختیار گرفتن لرزاننده که در بیشتر موبایلهای هوشمند وجود داراهستند را خواهد اعطا کرد.
این نوع از مجوزها خیلی هم بی آلایش و سطحی نیستند. در حالتیکه از این نوع از مجوزها بهصدق به کار گیری نشوند (و یا این که بهشکل مخرب به کارگیری شوند) یک اپ کاربردی با یکیاز این مجوزها میتواند بهشکل بالقوه برای دستگاه استفاده کننده فساد و تهدید تولید کند.
مثالهایی از این نوع مجوزها قادر است مجوزهایی باشند که به اپ کاربردی اذن می دهند تا تصاویر جان دار در کتابخانه تصاویر مخاطب را تغییر و تحول و یا این که حذف کند. مثال دیگر از این نوع مجوزها میتواند تلاوت لیست مخاطبان استفاده کننده نیز باشد.
درصورتی که بخواهیم بهشکل موردی تحلیل کنیم، مجوزی مثل مشاهده ارتباطات بیسیم ممکن میباشد داده ها بسیار پاره ای را برای اپلیکیشن کاربردی فاش کند البته یک اپلیکیشن کاربردی میتواند کانالهای بیسیم در دسترس را مشاهده نموده و داده هامبنا درباره ی آنهارا عدهآوری کند. در زمینهی نوع داده ها تودهآوریگردیده و مراد و غرض عدهآوری این دست از داده ها بایستی معین نمود که اپ موردنظر به چه منظوری و با چه نیتی این داده ها را عدهآوری کرده است تا معین خواهد شد چه نوع اطلاعاتی ازنظر مخاطب حساس و ضروری میباشند؛ براین اساس هرگونه داده ها از استفاده کننده قادر است بهشکل بالقوه حساس باشد و آیتم بررسی قرار گیرد.
5 مجوزی که می بایست نسبت به آنها محتاطخیس باشید
تعداد اندکی از مجوزها می باشند که می بایست در زمینه ی آنها احتیاط ما یحتاج را مبذول نمائید. ولی خیر به خیال و خاطر اینکه این نوع از مجوزها خطرناک می باشند، بلکه به این دلیلکه تفویض این نوع مجوزها ممکن میباشد پیامدهای وسیعی را برای استفاده کننده به یار و همدم خواهد داشت، ولی این پیامد هنگامی نتیجه ها شود که دادههای مخاطب در مشت فرد نادرستی قرار گیرند.
1