Clever Geek Handbook

أمان الأجهزة المحمولة والتطبيقات: خمسة سيناريوهات هجوم شعبية وطرق للحماية





صورة: Unsplash



الأجهزة المحمولة الحديثة معقدة للغاية وهذا يمنح المهاجمين الفرصة لشن الهجمات. يمكن استخدام كل شيء من Wi-Fi و Bluetooth إلى السماعة والميكروفون لكسر حماية هاتفك الذكي .



نشر محللو التقنيات الإيجابية دراسة عن السيناريوهات الشائعة للهجمات على الأجهزة المحمولة والتطبيقات. في

مقالتنا - النقاط الرئيسية في هذه الوثيقة.



كيف تتم مهاجمة الأجهزة المحمولة والتطبيقات





هناك خمسة سيناريوهات هجوم رئيسية. بينهم:



  • الوصول المادي . إذا سُرق الهاتف أو فُقد ، أعطاه المالك للخدمة أو وصله بشاحن USB مزيف - كل هذا يفتح إمكانية حدوث هجوم.
  • تطبيق ضار على الجهاز . في بعض الأحيان ، يمكن لهذه التطبيقات الوصول إلى الجهاز حتى من المصادر الرسمية و Google Play و App Store (لنظام Android و iOS ).
  • مهاجم في قناة الاتصال . من خلال الاتصال بشبكة Wi-Fi أو خادم وكيل أو VPN غير موثوق به ، نصبح عرضة للهجمات في قناة الاتصال.
  • الهجمات عن بعد . يمكن للمهاجم التصرف عن بعد باستخدام خوادم تطبيقات الهاتف المحمول أو خدمات أخرى لتقديم برمجية إكسبلويت.
  • هجمات جانب الخادم . بصرف النظر عن أي شيء آخر ، يمكننا التفكير في الهجمات على جانب الخادم من تطبيقات الهاتف المحمول ، لأنه في هذه الحالة لا يحتاج المهاجم إلى الوصول إلى الجهاز.


دعونا نتحدث بمزيد من التفصيل عن كل خيار ونناقش الطرق الممكنة للحماية من مثل هذه الهجمات.





هناك العديد من السيناريوهات الرئيسية لهجمات الوصول المادي. كقاعدة عامة ، تعني ضمناً وصول شخص إلى هاتف ذكي مباشرة: يحدث هذا إذا سرق الجهاز ، أو فقده المالك أو نقله إلى الخدمة. ومع ذلك ، هناك أيضًا طريقة غير عادية للهجوم ، حيث يتم استخدام محطة شحن ضارة. دعنا نفكر في ذلك.



قد لا تكون محطة الشحن التي تتصل بها هاتفك الذكي عبر USB آمنة تمامًا. للإصدارات الحديثة من Android و iOS OS ، عند الاتصال من هاتف ذكي إلى جهاز كمبيوتر عبر USB ، يلزم الحصول على إذن للوصول إلى الجهاز. ومع ذلك ، لم يكن هذا مطلوبًا على Android 4.0 والإصدارات الأقدم. ونتيجة لذلك ، عندما يتم توصيل هذه الأجهزة بمحطات الشحن التي تم اختراقها أو تثبيتها من قبل المتسللين ، تفتح فرصة لهجوم. قد يبدو نصها كما يلي:



  • Android 4.0 USB.
  • USB-.
  • adb install malware.apk, .
  • adb am start com.malware.app/.MainActivity .
  • , root . , (, , ) , .




بادئ ذي بدء ، احرص على عدم ترك هاتفك وجهازك اللوحي دون مراقبة في الأماكن العامة. تأكد من تعيين كلمة مرور لإلغاء قفل جهازك أو تشغيل أمان المقاييس الحيوية إن أمكن. لا ترفع الامتيازات الإدارية (الهروب من السجن أو الجذر) ، قم بتعطيل عرض الإخطارات على الشاشة المقفلة.



الهجمات باستخدام التطبيقات الضارة



هناك عدة مصادر لمثل هذه التطبيقات:



  • متاجر التطبيقات الرسمية - Google Play و App Store. نادرًا ، ولكن حتى في الأسواق الرسمية ، يمكنك العثور على تطبيق ضار يمكن أن يضر بك وبياناتك. غالبًا ما تحاول هذه التطبيقات الحصول على المزيد من عمليات التثبيت باستخدام أسماء clickbait مثل "Super Battery" أو "Turbo Browser" أو "Virus Cleaner 2019".
  • (third-party appstore). Android- , apk- . iOS- Safari, , .
  • USB-.
  • Android- — Google Play Instant.


عند التثبيت على هاتف ذكي ، اعتمادًا على الأذونات المستلمة ، ستتمكن التطبيقات الضارة من الوصول إلى بعض البيانات المخزنة والميكروفون والكاميرا والموقع الجغرافي وجهات الاتصال ، وما إلى ذلك ، وستتمكن أيضًا من التفاعل مع التطبيقات المثبتة الأخرى من خلال آليات الاتصال بين العمليات (IPC / XPC). إذا كانت التطبيقات المثبتة تحتوي على ثغرات يمكن استغلالها من خلال هذا التفاعل ، يمكن للتطبيق الضار الاستفادة من ذلك. هذا ينطبق بشكل خاص على أجهزة Android.



بالإضافة إلى ذلك ، يمكن للتطبيق الضار محاولة الحصول على امتيازات مرتفعة في النظام من خلال استغلال نقاط الضعف التي تسمح له بالحصول على امتيازات الجذر أو كسر الحماية.



كيف تحمي نفسك



للحماية من مثل هذه الهجمات ، يوصى بتجنب تثبيت التطبيقات من مصادر غير موثوقة أولاً. يجب أيضًا تثبيت التطبيقات ذات الأسماء المشبوهة بحذر ، حتى من متاجر التطبيقات الرسمية ، حيث لا تعمل أي عمليات تحقق بشكل مثالي. حافظ على تحديث نظام التشغيل والتطبيقات الخاصة بك للتأكد من عدم التعرض لأي ثغرات أمنية معروفة.



هجمات الارتباط



لكي يتمكن المهاجم من العمل من قناة الاتصال ، يحتاج إلى تنفيذ هجوم رجل في الوسط ، أي أن كل حركة المرور المرسلة بين تطبيق الهاتف المحمول للعميل وجانب الخادم تمر عبر جهاز المهاجم. أحيانًا ما تتم مواجهة الثغرات الأمنية في التطبيقات التي تسمح بمثل هذه الهجمات.



على سبيل المثال ، عادةً عند إنشاء اتصال آمن ، يتحقق تطبيق العميل من صحة شهادة الخادم وما إذا كانت معلماتها تتطابق مع تلك الموجودة في الخادم. ومع ذلك ، في بعض الأحيان ، لمطوري البرامج ، من أجل الراحة ، عند العمل على أحد التطبيقات ، قم بتعطيل عمليات التحقق هذه ، ونسيان تمكينها مرة أخرى في نسخة الإصدار. ونتيجة لذلك ، يقبل التطبيق أي شهادة خادم لإنشاء اتصال آمن ، بما في ذلك شهادة المهاجم.



حتى إذا تم التحقق من صحة الشهادات بشكل صحيح ، فلا يزال لدى المهاجم ثغرة: تحت بعض الذريعة لإجبار الضحية على تثبيت شهادة المهاجم كشهادة موثوق بها على جهازه. بالإضافة إلى ذلك ، إذا كان التطبيق نفسه يعمل بأمان مع الخادم ، ولكنه يحتوي على روابط إلى موارد جهات خارجية تم تنزيلها عبر HTTP ، فهذا لا يزال يشكل فرصة لهجمات التصيد الاحتيالي.



إذا تمكن أحد المهاجمين من التحكم في حركة المرور بين تطبيق العميل والخادم ، فسوف يمنحه عددًا من الاحتمالات:



  • استجابات الخادم المزيفة ، على سبيل المثال ، لانتحال التفاصيل المصرفية أو التصيد الاحتيالي ؛
  • استبدال طلبات تطبيق العميل ، على سبيل المثال ، تغيير مبلغ التحويل وحساب المستلم ؛
  • بيانات اعتراض ، مثل تسجيلات الدخول وكلمات المرور وكلمات المرور لمرة واحدة وبيانات البطاقة المصرفية وسجل المعاملات.


ونتيجة لذلك ، يتعلم تسجيلات دخول الضحية وكلمات المرور من حسابات مختلفة ويمكنه استخدامها لسرقة البيانات وسرقة الأموال.



كيف تحمي نفسك



لا تتصل بنقاط الوصول المشكوك فيها ، ولا تستخدم خوادم الوكيل و VPN التي لا تثق بها في معلوماتك الشخصية والمصرفية. لا تقم بتثبيت شهادات الطرف الثالث على الجهاز.



كقاعدة عامة ، فإن معظم برامج المراسلة الفورية الشعبية وتطبيقات الوسائط الاجتماعية محمية جيدًا من مثل هذه الهجمات ؛ على سبيل المثال ، إذا رفض أي من هذه التطبيقات فجأة العمل من خلال اتصال Wi-Fi الحالي ، فقد يعني هذا أن نقطة الوصول هذه غير آمنة ومن الأفضل قطع الاتصال بها حتى لا تعرض التطبيقات الأخرى للخطر ، بما في ذلك مصرفك المحمول.



الهجمات عن بعد



يمكن استغلال بعض نقاط الضعف في تطبيقات الهاتف عن بعد حتى دون الحاجة إلى التحكم في نقل البيانات بين التطبيق والخادم. توفر العديد من التطبيقات وظائف للتعامل مع الروابط الخاصة ، مثل myapp: //. تسمى هذه الروابط روابط عميقة وتعمل على كل من Android و iOS. يمكن أن يؤدي النقر على مثل هذا الرابط في المتصفح أو تطبيق البريد أو برنامج المراسلة إلى فتح التطبيق الذي يمكنه معالجة هذه الروابط. سيتم تمرير الارتباط بالكامل ، بما في ذلك المعلمات ، إلى تطبيق المعالج. إذا كان معالج الارتباط يحتوي على ثغرات ، ثم لاستغلالها ، سيكون كافياً لإجبار الضحية على اتباع الرابط الخبيث.



وبالمثل ، يمكن معالجة روابط http: // و https: // الأكثر شيوعًا على الأجهزة المحمولة - يمكن تمريرها إلى التطبيق بدلاً من المتصفح ، وقد يحدث هذا في بعض الحالات دون تأكيد من المستخدم.



بالنسبة إلى أجهزة Android ، قد يؤدي النقر على الرابط إلى تنزيل التطبيق الفوري ، مما قد يسمح بالاستغلال عن بُعد للثغرات المرتبطة بتثبيت تطبيق ضار.



كيف تحمي نفسك



التثبيت في الوقت المناسب لتحديثات التطبيقات ونظام التشغيل في هذه الحالة هو الطريقة الوحيدة لحماية نفسك. إذا كنت غير قادر على تثبيت التحديث أو لم يتم إصداره بعد ، فيمكنك التوقف مؤقتًا عن استخدام التطبيق المتأثر: قم بإلغاء تثبيته من جهازك أو ببساطة تسجيل الخروج.



هجمات جانب الخادم



لمهاجمة خادم تطبيقات الهاتف المحمول ، يحتاج المهاجم ، كقاعدة عامة ، فقط إلى دراسة كيفية تفاعل تطبيق العميل مع الخادم ، وبناءً على المعلومات التي تم جمعها حول نقاط الدخول ، حاول تعديل الطلبات من أجل اكتشاف الثغرات واستغلالها.



في كثير من الأحيان ، لا يختلف جهاز الطرف الخلفي لتطبيق الهاتف المحمول عن تطبيق الويب. كقاعدة عامة ، تكون خوادم تطبيقات الجوال أكثر بساطة وعادة ما تمثل json- أو xml-api ، ونادرًا ما تعمل مع ترميز HTML وجافا سكريبت ، كما تفعل مواقع الويب غالبًا.



إذا قارنا نقاط الضعف في تطبيقات الويب والجزء الخلفي من تطبيقات الهاتف المحمول ، فإننا نرى أن نقاط الضعف التالية تسود في تطبيقات الهاتف المحمول:



  • حماية غير كافية ضد بيانات اعتماد القوة الغاشمة: تحتوي 24٪ من تطبيقات الويب و 58٪ من خوادم تطبيقات الهاتف المحمول على مثل هذه الثغرات الأمنية ،
  • أخطاء منطق الأعمال: 2٪ من تطبيقات الويب و 33٪ من خوادم تطبيقات الجوال.


يظهر بحثنا أنه في كثير من الأحيان يمكن لمستخدمي التطبيق الوصول إلى بيانات المستخدمين الآخرين: إلى أرقام البطاقات ، والأسماء الأولى والأخيرة ، وأرقام الهواتف ، وما إلى ذلك. علاوة على ذلك ، يمكن توفير الوصول عن طريق الخطأ نيابة عن مستخدم آخر أو بدون مصادقة على الإطلاق ، وهو ما يرجع إلى وجود نقاط ضعف في المصادقة والترخيص.



كيف تحمي نفسك



في هذه الحالة ، هناك القليل مما يمكن للمستخدم العادي القيام به. ومع ذلك ، يمكنك التخفيف من مخاطر هجمات الخادم باستخدام كلمة مرور قوية وإعداد المصادقة ذات العاملين باستخدام كلمات مرور لمرة واحدة في جميع التطبيقات المهمة للمهام التي تقوم بذلك.



لتقليل احتمالية حدوث هجوم ناجح على تطبيق محمول ، يجب على مطوريه التحقق من جدوى كل من السيناريوهات الموصوفة. عند التطوير ، من الضروري مراعاة نماذج مختلفة من الدخلاء ، ويجب اتخاذ بعض تدابير الحماية في مرحلة التصميم.



توصية جيدة للمطورين هي تنفيذ دورة حياة تطوير الأمان (SDL) ومراجعة أمان التطبيق بانتظام. لن تساعد هذه الإجراءات على تحديد التهديدات المحتملة في الوقت المناسب فحسب ، بل ستزيد أيضًا من مستوى المعرفة الأمنية للمطورين ، مما سيزيد من مستوى أمان التطبيقات المطورة على المدى الطويل.



أرسلت بواسطة نيكولاي Anisenya، رئيس مجموعة أبحاث الأمن موبايل التطبيق في تقنيات إيجابي


More articles:


All Articles