امنیت اپلیکیشن موبایل (چک لیستی برای توسعه دهندگان اپلیکیشن)

هزینه‌های جهانی اپلیکیشن‌ها در نیمه اول سال ۲۰۲۲ به ۶۵ میلیارد دلار رسیده و درآمد کل این بازار نرخ رشد سالانه ۶.۵۸ درصد را رقم زده است. این آمارها آیندهٔ روشنی را برای توسعه‌دهندگان نرم‌افزارهای موبایلی نشان می‌دهند.

با این حال، همزمان با توسعه جهانی اپلیکیشن‌ها، خطرات و تهدیدهای گوناگونی هم برای امنیت آن‌ها ایجاد شده است. هکرها در کمین هستند تا از کوچک‌ترین فرصت‌ها بهره ببرند و از آن برای آسیب‌زدن به اپلیکیشن‌ها استفاده کنند؛ از این رو توسعه‌دهندگان باید تهدیدهای امنیتی اپلیکیشن خود را درک کرده و خود را برای مبارزه با آن‌ها آماده کنند.

در این مقاله، یک چک‌ لیست مناسب از شیوه‌های افزایش امنیت اپلیکیشن‌های موبایلی در مراحل مختلف ارائه داده‌ایم. با ما همراه باشید تا بفهمید چرا باید به امنیت اپلیکیشن موبایل اهمیت داده و چگونه اپلیکیشن امن‌تری داشته باشید.

 

امنیت اپلیکیشن موبایل به چه معنی است؟

امنیت اپلیکیشن موبایل به‌‌معنی محافظت از اپلیکیشن‌ها و هویت‌های دیجیتال در برابر آسیب‌ها و تهدیداتی است که به از دست‌رفتن داده‌ها و اطلاعات، سرقت هویت و مالکیت معنوی منجر می‌شوند. 

این امنیت شامل پیاده‌سازی ابزارهای نوین و فناورانه و به‌کارگیری بهترین روش‌های موجود در برابر تهدیدات است.

به‌طور کلی، امنیت اپلیکیشن‌های موبایلی نحوهٔ محافظت از آن‌ها در برابر تهدیدات خارجی است. این تهدیدها در یکی از گروه‌های زیر قرار می‌گیرند:

• پلتفرم‌ها: شامل نصب‌ بدافزار، معماری برنامه و اتصال عملکرد (شنود تماس‌ها یا پیام‌های مرتبط)
• ذخیره‌سازی داده (Data storage): پایگاه داده برنامه یا سیستم فایل‌ها، حافظهٔ پنهان، کلید ذخیره (Keystore) و فایل‌های پیکربندی
• باینری (Binary): مهندسی معکوس، الگوریتم‌های کلیدی، اعتبارنامه‌های جاسازی‌شده و آسیب‌پذیری‌های کد

 

چرا امنیت اپلیکیشن موبایل مهم است؟

زمانی که اپلیکیشن شما هدف حملات هکری قرار می‌گیرد، حساب‌های مشتریان به خطر می‌افتد و اطلاعات آن‌ها از دست می‌رود. حتی در برخی موارد، ممکن است با ضرر مالی مواجه شوند. این اتفاق باعث می‌شود شهرت شرکت و برندتان آسیب ببیند و مشتریان اعتماد خود را به اپلیکیشن شما از دست دهند؛ در نتیجه سراغ رقبای دیگری می‌روند که قول امنیتی مناسب را به آن‌ها می‌دهند و شما بخش قابل توجهی از درآمدتان را از دست خواهید داد؛ بنابراین صاحبان برند و شرکت‌ها باید به امنیت اپلیکیشن موبایل خود توجه‌ ویژه‌ای داشته باشند تا از آسیب‌های جبران‌ناپذیری که ضعف در امنیت به خودشان و مشتریانشان وارد می‌کند، جلوگیری کنند.

برای مثال، می‌توانیم به اپلیکیشن‌های حوزهٔ پرداخت در کشور خودمان اشاره کنیم که چندین مرتبه مورد حملات هکری قرار گرفته‌ و در برخی موارد، مشتریانشان با ضررهای مالی و اطلاعاتی مواجه شده‌اند. به همین خاطر، اعتماد مردم به این‌گونه برنامه‌ها کاهش یافته است و سعی می‌کنند تنها از نرم‌افزارهای رسمی بانک‌ها استفاده کنند.

بر اساس گزارشی از Osterman Research، از هر پنج سازمان دو سازمان دارای امنیت اپلیکیشن موبایل و API ضعیفی برای رویکردهای شخص ثالث و داخلی هستند. طبق این آمار، بسیاری از اپلیکیشن‌ها و نرم‌افزارهای موبایلی برای تهدیدات خارجی آماده نیستند. تجزیه‌وتحلیل اخیر ۴۰۰ برنامهٔ برتر مربوط به امور مالی تلفن همراه هم نشان می‌دهد که ۷۰ درصد از استانداردهای اولیه حریم خصوصی و امنیت، ناموفق هستند.

جدول زیر درصد عدم محافظت از کد، داده و میزان استفاده از الگوریتم‌های رمزگذاری آسیب‌پذیر را در اپلیکیشن‌های حوزهٔ مالی، سلامت، خرده‌فروشی و لایف استایل بر اساس سیستم‌ عامل نمایش می‌دهد.

 

 

اکنون که اهمیت امن‌سازی اپلیکیشن‌های موبایلی را درک کردید، وقت آن رسیده که روش‌های مناسب انجام این کار را بیان کنیم.

چگونه اپلیکیشن امن تری داشته باشیم؟

امنیت موضوعی است که در همان ابتدای کار و مراحل اولیهٔ ایجاد برنامه باید به آن توجه داشت و در پیکربندی برنامه اعمال کرد. حدود ۴۳ درصد از شرکت‌ها به دلیل عجله برای راه‌اندازی اپلکیشن‌های خود، امنیت آن را نادیده می‌گیرند و این یک پیام هشدار جدی است.

توجه به یک سری نکات به‌خصوص در مراحل ابتدایی توسعهٔ اپلیکیشن، به شما کمک می‌کند برنامه‌تان را در برابر تهدیدهای خارجی، ایمن کنید. این موارد، عبارتند از:

 

۱. از کد منبع خود محافظت کنید

یکی از مهم‌ترین نکات در حفظ امنیت اپلیکیشن موبایل، این است که کد منبع آن را به‌صورت سراسری رمزگذاری کنید. این روزها، بسیاری از توسعه‌دهندگان به‌دلیل مقرون‌به‌صرفه‌بودن، از کد منبع باز استفاده می‌کنند. این کدها در صورتی که به‌درستی محافظت نشوند، می‌توانند خطرناک باشند؛ چراکه هکرها به‌راحتی امکان شناسایی کدها و سوء استفاده از آن‌ها را خواهند داشت. شبیه‌سازی با استفاده از مهندسی معکوس، مثال خوبی در این مورد است.

اگر برنامه شما از کد منبع باز استفاده می‌کند، باید مطمئن شوید که به کلید‌ها، الگوریتم‌ها یا هر اطلاعات حساس‌ دیگری که در معرض دید قرار می‌گیرد، متکی نباشد؛ زیرا در صورت وابستگی اپلیکیشن به این موارد، امکان آسیب‌دیدن جدی آن وجود خواهد داشت.

حتی اگر برنامه شما دارای کد منبع بسته‌ است، می‌توانید اقداماتی برای محافظت بیشتر از کدها انجام دهید. برای مثال، توسعه‌دهندگانی را استخدام کنید تا یک کد منبع حق چاپ (copyright source code) برای اپلیکیشنتان ایجاد کنند. علاوه بر این، می‌توانید با روش‌های مختلف کدهایتان را از دید هکرها پنهان کنید.

 

۲. از احراز هویت سطح بالا استفاده کنید

احراز هویت قوی، خطر دسترسی غیرمجاز و هک رمزهای عبور را کاهش می‌دهد. اپلیکیشن خود را به‌گونه‌ای طراحی کنید که فقط رمزهای عبور قوی را برای حساب‌های کاربری بپذیرد. علاوه بر این، می‌توانید احراز هویت چند‌عاملی را اجرا کنید. البته باید در نظر داشته باشید که سطوح احراز هویت با تجربه کاربری تداخل نداشته باشد.

برای مثال، می‌توانید چند سطح احراز هویت در نظر بگیرید تا هر چه اهمیت خدمات بیشتر شود، کاربران ملزم به احراز هویت در سطوح بالاتری باشند. حتی در صورت نیاز، می‌توانید از ترکیب کدهای مختلف همچون ارسال پیامک، پین، تأیید بیومتریک و سؤالات امنیتی استفاده کنید.

 

۳. APIها را افشا نکنید

اکثر اپلیکیشن‌ها برای ارائه خدمات شخص ثالث به APIها تکیه کرده و عملکرد برنامه‌شان را بهبود می‌بخشند. اگر هکرها به کد شما دسترسی داشته باشند، اغلب همین کلیدهای مجوز API، دروازه ورود آن‌ها خواهند بود و می‌توانند از این طریق به اپلیکیشنتان آسیب بزنند؛ از این رو کلیدهای API حساس نباید در برنامه کدگذاری شوند.

زمانی که به تبادل داده‌ها بین برنامهٔ خود و APIها فکر می‌کنید، بسیار مهم‌ است که از رمزگذاری داده‌ها حین انتقال مطمئن باشید. این کار را می‌توان هم از طریق رمزگذاری متقارن با یک گواهی یا set session key و هم از طریق رمزگذاری نامتقارن برای محافظت از تبادل set session key انجام داد.

علاوه بر این، می‌توانید لایه‌های امنیتی (Transport Layer Security (TSL و Secure Sockets Layer (SSL را برای امنیت اپلیکیشن موبایل خود در نظر بگیرید. این پروتکل‌های رمزنگاری، انتقال داده بین سیستم‌ها را تأیید و از دسترسی غیر‌مجاز جلوگیری می‌کنند.

 

۴. از داده‌های کش (cached data) مراقبت کنید

معمولاً تلفن‌های هوشمند برای بهبود عملکرد برنامه‌ها، داده‌ها را در حافظهٔ پنهان یا کش ذخیره می‌کنند. دسترسی به دستگاه‌های تلفن همراه برای مهاجمان و هکرها ساده است. در این‌گونه موارد، هکرها داده‌های کش‌‌شده برنامهٔ شما را رمزگشایی و داده‌های کاربر را سرقت می‌کنند؛ بنابراین علاوه بر نیاز به رمز عبور برای ورود به اپلیکیشن، می‌توانید یک فرایند خودکار به‌منظور پاک‌کردن داده‌های کش‌شده راه‌اندازی کنید.

 

۵. از امن‌بودن ذخیره‌سازی اطلاعات (data storage) مطمئن شوید

مکانی که داده‌های اپلیکیشن شما ذخیره و پردازش می‌شوند، بر توانایی اجرای داده‌های کاربر و امنیت کلی برنامه تأثیر دارد. تا حد امکان، روش مناسب این است که داده‌های محرمانهٔ کاربر در دستگاه تلفن او یا سرورهای شما ذخیره نشوند.

برای مثال، اگر یک اپلیکیشن فروشگاه اینترنتی داشته باشید، به ‌احتمال زیاد داده‌های کاربر مانند اولویت‌های خرید، اعتبارنامه‌ها و اطلاعات پرداخت را ذخیره می‌کند که داده‌هایی حساس هستند. دو نوع داده آخر باید محافظت شوند که با رمزگذاری می‌توان این کار را انجام داد.

اگر داده‌ها را در پایگاه داده (database) ذخیره می‌کنید، به‌طور منظم از آن‌ها نسخه پشتیبان رمزگذاری‌شده تهیه کنید. به این ترتیب، در صورتی که هکرها به پایگاه داده شما تجاوز و اطلاعات را پاک کنند، آسیب جدی نخواهید دید.

 

روتین بررسی های امنیتی اپلیکیشن

با توجه به اینکه تهدیدهای خارجی مدام در حال تکامل‌ هستند، برای اطمینان از امنیت اپلیکیشن موبایل، لازم است به‌صورت مکرر آزمایش‌های امنیتی انجام دهید. نکات زیر به شما کمک می‌کند برنامه‌ای مناسب برای تست امنیت اپلیکیشنتان تنظیم کنید:

 

امنیت کد خود را بررسی کنید

برای اطمینان از امنیت اپلیکیشن موبایل، می‌توانید کد خود را به‌منظور شناسایی تهدیدات با استفاده از نرم‌افزارهای اتوماتیک یا دستی بررسی کنید. با این که نرم‌افزارهای اتوماتیک سریع‌تر هستند، اما ممکن است برخی بی‌نظمی‌ها را نادیده بگیرند. یک راهکار مناسب، استفاده از نرم‌افزارهای اتوماتیک و دستی به‌صورت ترکیبی است.

 

از فناوری (Runtime Application Self-Protection (RASP استفاده کنید

زمانی که برنامه‌تان به‌صورت نهایی مستقر و راه‌اندازی شد، می‌توانید از فناوری Runtime Application Self-Protection (RASP استفاده کنید. ابزارهای RASP روی اپلیکیشن شما نصب یا به آن متصل می‌شوند. این ابزارها در طول زمان اجرا، در پس‌زمینهٔ برنامه عمل کرده تا کدهای مخرب را در اسرع وقت کشف و متوقف کنند.

 

معماری اپلیکیشنتان را بررسی کنید

پیکربندی اصلی برنامه‌تان را تجزیه‌وتحلیل کنید. نقاط ضعفی را که می‌توانند به سوء استفاده منجر شوند،‌ پیدا و آن‌ها را برطرف سازید؛ همچنین لازم است مجوز کاربر و تنظیمات امنیتی را بررسی کنید و ببینید چه چیزهایی باید به‌روزرسانی شود.

 

یک تهدید را مدل‌‌سازی کنید

براساس گزارشات شرکت حفاظت از اپلیکیشن موبایل Approove، پنج سطح از حمله وجود دارند که دارای پتانسیل دستکاری هستند:

۱. اعتبار کاربری (User credentials)

۲. یکپارچگی برنامه (App Integrity)

۳. یکپارچگی دستگاه (Device integrity)

۴. یکپارچگی کانال API یا (API Channel Integrity)

۵. API و آسیب‌پذیری‌های سرویس (API and Service Vulnerabilities)

بعد از بررسی یکپارچگی برنامهٔ خود، نقض‌های آن را می‌شناسید و می‌فهمید به کدام پنج سطح حملهٔ فوق تعلق دارند؛ سپس می‌توانید تهدیدات احتمالی کشف‌شده را شبیه‌سازی و یک استراتژی مناسب ایجاد کنید تا از این نقض‌ها محافظت کند و فرصت وقوع تهدیدات را حذف یا کاهش دهد.

 

از امنیت اپلیکیشن موبایل‌تان اطمینان حاصل کنید!

مشتریان تا حد زیادی به امنیت برنامه‌های موبایلی اهمیت می‌دهند. در صورتی که متوجه هرگونه ناامنی شوند، به‌سرعت اپلیکیشن شما را ترک و رقبایی که امنیت بیشتری را پیشنهاد می‌دهند، انتخاب خواهند کرد.

به همین خاطر، باید از همان مراحل اولیهٔ توسعه اپلیکیشن به پیکربندی مناسب و ایمن برنامه توجه ویژه‌ای داشته باشید. علاوه بر آن، در هر مرحله با توجه به چک‌لیستی که در اینجا آوردیم، می‌توانید امنیت اپلیکیشنتان را افزایش دهید.

چک لیست فوق را به‌صورت مرتب بررسی و سعی کنید تغییرات و بررسی‌های لازم را بر اپلیکیشن خود اعمال کنید. اگر باز هم در رابطه با امنیت اپلیکیشن موبایل و راهکارهای بهبود آن سؤالی داشتید، آن را در بخش کامنت‌ها با ما در میان بگذارید.

 

منابع: adjust