مشکل امنیتی در توسعه اپلیکیشنهای موبایل
۵ نقص امنیتی در گسترش برنامه های گوشی
جدیداً طراحی اپلیکیشن در مشهد اکثری از شرکتهای دارای شهرت مثل yahoo ،Snapchat ،Starbucks ،Target ،Home Depot و غیره با ایراد افشای داده ها کاربرانشان مواجه بودهاند. آیا می دانید چرا؟ چرا که فرد حملهکننده برنده به یافت کردن حفرههای امنیتی درین نرم افزار ها شد و از آن باگها بهره برد.
واقعیت این میباشد که هیچکس به امنیت گوشی یا این که اطراف سری هنگام خرید قهوه از استارباکس یا این که هنگام بازی Angry Birds اعتنا نمینماید. حتی وقتی که مشتریان به امنیت نیز تاءمل نمایند، عقیده داراهستند که توسعه و گسترشدهنده نرم افزار، به تاءمل ساخت امنیت بوده میباشد. اکثر مشتریان فکر می کنند کهاین برنامه ها در شرکتهای معروفی تشکیل شدهاند، به این ترتیب احتمال بروز غلط و نقص امنیتی نیست.
به همین عامل میباشد که شرکتها و توسعه و گسترشدهندگان در قضیه امنیت نرمافزار تلفن همراه، جای اینکه برخورد گرا باشند، بایستی کنش گرا فعالیت نمایند. این قضیه اساسی میباشد که در صورتیکه میخواهید در رقابت قابل انعطافافزاری باقی بمانید، بایستی اعتماد مشتریان را بدست آورید.
در حالی که جنبههای متعددی برای محاسبههای امنیتی وجود داراهستند، ما دراین نوشتهیعلمی به محاسبه یک سری گزینه امنیتی که در هنگام ایجاد قابل انعطافافزارها بایستی به آنها اهمیت دهید، میپردازیم.
۵ ایراد امنیتی در توسعه و گسترش نرمافزار های گوشی
ذخیرهسازی ناامن داده
در ایالاتمتحده، نرم افزار گوشی استارباکس یکیاز پراستفادهترین برنامه های خرید میباشد. مشتریان کافی میباشد یک توشه راز عبور خویش را وارد نمایند تا نصیب خرید این برنامه را فعال نمایند و آن را بارها و بارها استعمال نمایند و فارغ از هیچ محدودیتی برای ورود دوباره اسم کاربری و سر عبور، مبادرت به خرید نمایند.
این زمینه از جهت راحتی عمل مشتریان بسیار درخور اعتنا میباشد؛ ولی واقعیت تلخ این میباشد که در ۱۶ ژانویه ۲۰۱۴ یعنی ۲۶ دی ماه ۱۳۹۲، اپ استارباکس، پراستفادهترین اپ در ایالات متحده با ۱۰ میلیون مشتری، داده ها ورود یوزرها را به طور متن آشکار[۱] (سوای کد گذاری) ذخیره میکرد. وقتی که CNBC گزارش کرد که داده یوزرها افشا شدهاست، ۳ میلیون از مشتریان، این اپ را از دستگاه موبایلشان تمیز کردند. در ۲۴ ساعت، این نرم افزار از ۴امین برنامه برتر به ۲۶ امین نرم افزار تنزل یافت. بعداز آن استارباکس یک بهروزرسانی در انتها هفته ارائه کرد، ولی پاد زهر بعد از مرگ سهراب بود و بیبهره!
افزون بر آن، این داده ها، جای جغرافیایی یوزرها را نیز نشان میاعطا کرد. فرد غیرمجاز با به کارگیری از این داده ها میتوانست به اینترنتوبسایت استارباکس نیز ورود نماید. اکثر وقت ها تایم ها، اشخاص اسم کاربری و راز عبور یکسان برای اکانتهای کاربری متفاوت به کار گیری مینمایند و به همین برهان احتمال نفوذ به سایر اکانتهای کاربری نیز وجود دارااست.
تحت عنوان یک توسعه و گسترشدهنده، بایستی به تامل بسط اپلیکیشنی باشید که داده ها حیاتی یوزرها را مثل سر عبور و شماره کارت اعتباری به طور بی واسطه در دستگاه نگه ندارد. درصورتیکه هم این داده ها ذخیره میشوند، بایستی به طور امن ذخیره گردند. دادهها مدام بایستی به طور کد گذاری گردیده ذخیره شوند و اپ نباید اذن حامی گیری از این داده ها را بدهد.
خطاها پروتکل امن (SSL)
تاکنون یکی رایجترین مشکلاتی که در نرم افزار ها مشاهده کردهایم، نقص در لایه اتصال امن (SSL) بوده میباشد. اکثر زمان ها بسطدهندگان به نرم افزار های SSL نمیپردازند و به همین برهان بسط این اپ ها همواره با خلل مواجه بوده میباشد. اکثر اوقات وقت ها گواهینامههای SSL آیتم تائید نیستند و در علامت اعتماد خویش ایراد داراهستند. نبود حفاظت لایه انتقال مطلوب باعث بروز جراحتپذیریهایی در نرمافزار میگردد که می تواند نرمافزار شمارا به آسانی ذیل نفوذ هجوم ها هکرها قرار دهد.
SSL) مخفف واژه و کلمه Secure Socket Layer در معنای «لایه اتصال امن» و پروتکلی (گروهای از قانون ها) جهت برقراری ارتباطات ایمن دربین خدمتدهنده و خدمتگیرنده در وب میباشد که به وسیله کمپانی Netscape نوآوری شدهاست. پروتکل امنیتی (SSL) یکی پروتکلهای استاندارد جهت انتقال دادهها در میان خدمتدهنده (Server) و خدمتگیرنده (Client) به طور کدگذاری شدهاست.)
مشکل امنیتی در توسعه اپلیکیشنهای موبایل
۵ نقص امنیتی در گسترش برنامه های گوشی
جدیداً طراحی اپلیکیشن در مشهد اکثری از شرکتهای دارای شهرت مثل yahoo ،Snapchat ،Starbucks ،Target ،Home Depot و غیره با ایراد افشای داده ها کاربرانشان مواجه بودهاند. آیا می دانید چرا؟ چرا که فرد حملهکننده برنده به یافت کردن حفرههای امنیتی درین نرم افزار ها شد و از آن باگها بهره برد.
واقعیت این میباشد که هیچکس به امنیت گوشی یا این که اطراف سری هنگام خرید قهوه از استارباکس یا این که هنگام بازی Angry Birds اعتنا نمینماید. حتی وقتی که مشتریان به امنیت نیز تاءمل نمایند، عقیده داراهستند که توسعه و گسترشدهنده نرم افزار، به تاءمل ساخت امنیت بوده میباشد. اکثر مشتریان فکر می کنند کهاین برنامه ها در شرکتهای معروفی تشکیل شدهاند، به این ترتیب احتمال بروز غلط و نقص امنیتی نیست.
به همین عامل میباشد که شرکتها و توسعه و گسترشدهندگان در قضیه امنیت نرمافزار تلفن همراه، جای اینکه برخورد گرا باشند، بایستی کنش گرا فعالیت نمایند. این قضیه اساسی میباشد که در صورتیکه میخواهید در رقابت قابل انعطافافزاری باقی بمانید، بایستی اعتماد مشتریان را بدست آورید.
در حالی که جنبههای متعددی برای محاسبههای امنیتی وجود داراهستند، ما دراین نوشتهیعلمی به محاسبه یک سری گزینه امنیتی که در هنگام ایجاد قابل انعطافافزارها بایستی به آنها اهمیت دهید، میپردازیم.
۵ ایراد امنیتی در توسعه و گسترش نرمافزار های گوشی
ذخیرهسازی ناامن داده
در ایالاتمتحده، نرم افزار گوشی استارباکس یکیاز پراستفادهترین برنامه های خرید میباشد. مشتریان کافی میباشد یک توشه راز عبور خویش را وارد نمایند تا نصیب خرید این برنامه را فعال نمایند و آن را بارها و بارها استعمال نمایند و فارغ از هیچ محدودیتی برای ورود دوباره اسم کاربری و سر عبور، مبادرت به خرید نمایند.
این زمینه از جهت راحتی عمل مشتریان بسیار درخور اعتنا میباشد؛ ولی واقعیت تلخ این میباشد که در ۱۶ ژانویه ۲۰۱۴ یعنی ۲۶ دی ماه ۱۳۹۲، اپ استارباکس، پراستفادهترین اپ در ایالات متحده با ۱۰ میلیون مشتری، داده ها ورود یوزرها را به طور متن آشکار[۱] (سوای کد گذاری) ذخیره میکرد. وقتی که CNBC گزارش کرد که داده یوزرها افشا شدهاست، ۳ میلیون از مشتریان، این اپ را از دستگاه موبایلشان تمیز کردند. در ۲۴ ساعت، این نرم افزار از ۴امین برنامه برتر به ۲۶ امین نرم افزار تنزل یافت. بعداز آن استارباکس یک بهروزرسانی در انتها هفته ارائه کرد، ولی پاد زهر بعد از مرگ سهراب بود و بیبهره!
افزون بر آن، این داده ها، جای جغرافیایی یوزرها را نیز نشان میاعطا کرد. فرد غیرمجاز با به کارگیری از این داده ها میتوانست به اینترنتوبسایت استارباکس نیز ورود نماید. اکثر وقت ها تایم ها، اشخاص اسم کاربری و راز عبور یکسان برای اکانتهای کاربری متفاوت به کار گیری مینمایند و به همین برهان احتمال نفوذ به سایر اکانتهای کاربری نیز وجود دارااست.
تحت عنوان یک توسعه و گسترشدهنده، بایستی به تامل بسط اپلیکیشنی باشید که داده ها حیاتی یوزرها را مثل سر عبور و شماره کارت اعتباری به طور بی واسطه در دستگاه نگه ندارد. درصورتیکه هم این داده ها ذخیره میشوند، بایستی به طور امن ذخیره گردند. دادهها مدام بایستی به طور کد گذاری گردیده ذخیره شوند و اپ نباید اذن حامی گیری از این داده ها را بدهد.
خطاها پروتکل امن (SSL)
تاکنون یکی رایجترین مشکلاتی که در نرم افزار ها مشاهده کردهایم، نقص در لایه اتصال امن (SSL) بوده میباشد. اکثر زمان ها بسطدهندگان به نرم افزار های SSL نمیپردازند و به همین برهان بسط این اپ ها همواره با خلل مواجه بوده میباشد. اکثر اوقات وقت ها گواهینامههای SSL آیتم تائید نیستند و در علامت اعتماد خویش ایراد داراهستند. نبود حفاظت لایه انتقال مطلوب باعث بروز جراحتپذیریهایی در نرمافزار میگردد که می تواند نرمافزار شمارا به آسانی ذیل نفوذ هجوم ها هکرها قرار دهد.
SSL) مخفف واژه و کلمه Secure Socket Layer در معنای «لایه اتصال امن» و پروتکلی (گروهای از قانون ها) جهت برقراری ارتباطات ایمن دربین خدمتدهنده و خدمتگیرنده در وب میباشد که به وسیله کمپانی Netscape نوآوری شدهاست. پروتکل امنیتی (SSL) یکی پروتکلهای استاندارد جهت انتقال دادهها در میان خدمتدهنده (Server) و خدمتگیرنده (Client) به طور کدگذاری شدهاست.)