10 خطر برای امنیت گوشی  های هوشمند

به گزارش اقتصاد آنلاین به نقل از خراسان ، کافی است کاربران گوشی  های هوشمند موارد امنیتی و هشدار های داده شده را نسبت به افزایش امنیت گوشی هوشمند خود در نظر داشته باشند.

1- ذخیره داده به صورت ناامن داده  هایی که در دستگاه اندرویدی ذخیره می شوند و به صورت بالقوه در معرض خطر قرار خواهند گرفت به شرح زیر است: نام  های کاربری، توکن  های احراز اصالت، گذرواژه  ها، کوکی ها، داده  های موقعیت مکانی، UDID/EMEI، نام دستگاه، نام شبکه متصل شده، اطلاعات شخصی: DoB، آدرس، داده  های کارت های اعتباری، داده  های برنامه کاربردی همچنین لاگ  های ذخیره شده برنامه کاربردی، اطلاعات دیباگ، پیام  های به دست آمده از برنامه کاربردی و تاریخچه تراکنش  ها.

2- کنترل  های ضعیف از سمت سرور درصورت عدم تأمین کنترل از سمت سرور و امکان دسترسی برنامه کاربردی شما به آن  ها، داده های شما در معرض خطر قرار خواهد گرفت.

3- حفاظت ناکافی لایه انتقال اگر کدنویسی برنامه کاربردی که داده  ها را از طریق یک سرور کلاینت جابه جا می کند، ضعیف باشد و نتواند فاکتور های امنیتی را برآورده کند، «عوامل تهدید» می توانند با استفاده از تکنیک هایی، داده  های حساس را به هنگام عبور از خطوط ارتباط مشاهده کنند. عوامل تهدید شامل موارد زیر خواهند بود:کاربران محلی در شبکه شما (نظارتWi-Fi)، حامل  ها یا دستگاه  های شبکه (روتر ها، دکل های مخابراتی، پروکسی  ها و غیره) و بدافزار هایی که از قبل روی گوشی کاربر وجود داشته اند.

4- تزریق از جانب کلاینت مهاجمان می توانند با بارگذاری، حملات ساده «متن محور» را در هر منبع داده تزریق کنند، این منابع می توانند فایل  ها یا خود برنامه  های کاربردی باشند. حملات تزریق از جمله تزریق SQL روی دستگاه  های کلاینت می تواند در صورت وجود چندین حساب کاربری روی یک برنامه کاربردی یا یک دستگاه به اشتراک گذاشته شده، تشدید پیدا کند.

5- ضعف مجوز و احراز اصالت برنامه  های کاربردی و سیستم  هایی که به آن ها متصل هستید باید به بهترین شکل از نظر تفویض مجوز و فرآیند احراز اصالت محافظت شوند. این کار موجب می شود تا (سیستم  ها، کاربران و دستگاه ها) برای انتقال داده در زمان فعالیت برنامه کاربردی، دارای اختیار و مجوز قانونی باشند و در صورت عدم وجود چنین شرایطی سیستم  ها، کاربران و دستگاه  های غیرمجاز توانایی این کار را نداشته باشند و مسدود شوند.

6- مدیریت نادرست لایه جلسه ممکن است برای شما هم اتفاق افتاده باشد که در حین بررسی حساب بانکی خود از طریق کامپیوتر با پیغام «زمان جلسه به اتمام رسیده است، لطفاً دوباره وارد شوید» روبه رو شوید. این یک نمونه خوب از مدیریت جلسه است. این مورد و سایر موارد مدیریت جلسه باید در مورد برنامه  های کاربردی که دسترسی به داده  های حساس را دارند اعمال شود.

7- تصمیمات امنیتی از طریق ورودی  های نامطمئن یک مهاجم می تواند ورودی  هایی از قبیل کوکی  ها، متغیرهای محیطی و فرم  های مخفی موجود در گوشی را تغییر دهد و قابل تشخیص هم نباشد.  زمانی که تصمیمات امنیتی از قبیل احراز اصالت و نوع مجوز ها بر اساس مقادیر این دست از ورودی  ها اتخاذ و ساخته می شوند؛ مهاجمان نیز می توانند امنیت نرم افزار ها را دور بزنند. بدون رمزگذاری مناسب، بررسی جامعیت یا دیگر مکانیسم  ها هر ورودی که سرچشمه خارجی داشته باشد نمی تواند قابل اعتماد باشد.

8- نشت داده از کانال جانبی این کار از طریق راه های ذیل امکان پذیر است: رمزنگاری - استراتژی  های متنوعی در رمزگذاری مورد استفاده قرار می گیرد. حمله کانال جانبی: حملاتی که به منظور به دست آوردن اطلاعات از طریق اجرای فیزیکی سیستم رمزگذاری صورت می پذیرند بیشتر از حملات brute force یا پیدا کردن نقاط ضعف موجود در الگوریتم رمزنگاری باشند. بررسی دقیق از نظر چگونگی انتقال داده و زمان و مکان انتقال آن توسط مهاجمان می تواند به شناسایی و بهره برداری از حفره  های امنیتی منجر شود.

9- شکستن رمزنگاری نسبت به قدرت، پایا بودن و عدم شکسته شدن الگوریتم رمزنگاری که از آن استفاده می کنید، اطمینان حاصل کنید.  نقاط ضعف یک الگوریتم را می توان با استفاده از ابزار ها و تکنیک  هایی که نیاز مند تحلیل دستی و مشارکت انسان است، برطرف کرد. این تکنیک  ها شامل آزمون  های نفوذ، مدل کردن تهدیدات و ابزار های تعاملی است و به کاربر اجازه ثبت و تنظیم یک جلسه فعال را می دهد.

10-افشای اطلاعات حساس زمانی که برنامه  های کاربردی، سیستم  ها و الگوریتم  های رمزنگاری ساخته می شوند یا توسط شرکت  ها مورداستفاده قرار می گیرند، هک و یا شکسته خواهند شد، در این زمان داده شما می تواند در معرض خطر قرار گیرد.  هنگامی که داده  های حساس فاش شوند، افراد سودجو می توانند این داده  ها را در پایگاه  های داده و سیستم  های خود ذخیره کنند و به حساب  های کاربری، کارت  های اعتباری، نام  های کاربری، گذر واژه  ها و بسیاری دیگر از داده  های حساس شما دسترسی داشته باشند. جست وجوی داده به منظور شناسایی آسیب پذیری  هایی که از نقص موجود در برنامه  های کاربردی و نوع خدمات شرکت  ها منجر می شود، شما را در برابر این دست از خطرات مصون نگاه خواهد داشت.