ما مدى أمن تطبيق موبايلك؟

Mario Hachem, Contributor, Apr 04 2017

منذ وقتٍ طويل، وفي مجرّة بعيدة جدًّا، كان الناس يستخدمون الهواتف في المقام الأول للاتصال ببعضهم البعض. غريب، أليس كذلك؟ أما اليوم، وفي هذا الزمن، يعتمد الكثيرون منا على هواتفنا للاهتمام بالمهام اليوميّة مثل الاستيقاظ في الوقت المحدّد، وتتبّع السعرات الحرارية، وتبادل الصور والتحديثات. هل نحن بحاجةٍ إلى تذاكر سينما؟ ليس علينا سوى النقر. وهل نريد تتبّع تاريخ بطاقة الائتمان الخاصّة بنا والحصول على نقاط ائتمان مجانية؟ نعم، يمكننا القيام بذلك أيضًا.

تبنّت المؤسّسات تطبيقات الموبايل كوسيلةٍ لتحسين إنتاجية الموظفين ومواءمتها مع نمط حياتهم الجديدة والمتنقلة. ولكنّ هل هذه التطبيقات النقالة آمنة فعلاً ومحميّة من أعمال القرصنة؟

للنظر في هذا الموضوع، حدّدت بحوث حديثة من مصادر كثيرة، أنّه من بين أهمّ تطبيقات الموبايل المدفوعة والمجانية:

تمّ اختراق 100٪ من أفضل 100 تطبيق مدفوع على منصّة غوغل أندرويد

تمّ اختراق 56٪ من أفضل 100 تطبيق مدفوع منصّة iOS لأبل

تمّ اختراق 73٪ من التطبيقات المجانية الشائعة على أندرويد

تمّ اختراق 53٪ من التطبيقات المجانية الشائعة على iOS لأبل

في الأساس، يحدث هذا الأمر لأنّ الأمن موضوع صعب. ونحاول دائمًا في TEDMOB أن نشرح لعملائنا أهميّة حماية التطبيقات. القراصنة هم خبراء في الأمن، ولذلك لدينا فريق من الخبراء يولون اهتمامًا خاصًّا عند البرمجة لبناء تطبيقات آمنة.

تساعد ميزات الأمن الأساسية التالية في بناء تطبيقات آمنة. لا تقولوا إنّنا لا نقدّم نصيحة مجانية!

تأمين حماية الرمز:

الجزء الأول هو تأمين حماية الرموز البرمجية. نحن نبحث عن أدوات لمساعدة المطورين لدينا في اكتشاف الثغرات الأمنية وإغلاقها وتقوية التطبيقات ضدّ الهندسة العكسية والعبث بها. ومع ذلك، لا تزال "تطبيقات المستهلك" تمثل تهديدًا لأنّها قد لا تخضع لعملية التقوية المناسبة. وإذا كانت التطبيقات الخبيثة والبرمجيات الخبيثة وتطبيقات المؤسّسة مثبتة على الجهاز نفسه، يكون التهديد واقعًا.

  • تطبيق Sandbox، الذي يعزل بيانات التطبيق والرموز البرمجية عن تطبيقات أخرى.

  • إطار تطبيق مع تطبيقات قوية من وظائف الأمن المشتركة مثل التشفير والأذونات واتصالات متداخلة (IPC) آمنة.

  • تقنيات مثل ASRL، NX، ProPolice، safe_iop، OpenBSD dlmalloc، OpenBSD calloc، و لينوكس mmap_min_addr للتخفيف من المخاطر المرتبطة بأخطاء إدارة الذاكرة المشتركة.

  • نظام ملفات مشفّرة يمكن تمكينها لحماية البيانات على الأجهزة المفقودة أو المسروقة.

  • أذونات منحها المستخدم لتقييد الوصول إلى ميزات النظام وبيانات المستخدم.

  • الأذونات المعرفّة من التطبيقات للتحكّم ببيانات التطبيق على أساس كلّ تطبيق.

أمن الجهاز:

يمكن لميزات جهاز الأمن مثل إقفال الجهاز وحجب التطبيقات المشبوهة أو تلك من مصادر غير معروفة، أن تعزّز أيضًا حماية البيانات من المقرصنين. لذلك، يجب دائمًا الحفاظ على أمن الهاتف بحيث لا يمكن لأحد اختراق التطبيقات وكلمات المرور.

نذكر أدناه بعض المؤشرات الصغيرة الأخرى التي نوليها اهتمامًا في TEDMOB عند حماية تطبيقاتنا:

حفظ البيانات

إنّ الشاغل الأمني الأكثر شيوعًا للتطبيق هو ما إذا كانت البيانات التي يتمّ حفظها على الجهاز متاحة للتطبيقات الأخرى. ثمّة ثلاث طرق أساسية لحفظ البيانات على الجهاز:

التخزين الداخلي

التخزين الخارجي

مزوّدو المحتوى

تصف الفقرات التالية المسائل الأمنية المرتبطة بكلّ نهج.

استخدام التخزين الداخلي

بشكل افتراضي، لا يمكن الوصول إلى الملفات التي يتمّ إنشاؤها على وحدة التخزين الداخلية سوى من التطبيقات.

استخدام التخزين الخارجي

تكون الملفات التي يتمّ إنشاؤها على وحدة التخزين الخارجية، مثل البطاقات الرقمية الآمنة، قابلة للقراءة والكتابة على مستوى العالم. ولأنّه يمكن إزالة التخزين الخارجي من المستخدم وتعديله أيضًا من أيّ تطبيق، يجب عدم تخزين المعلومات الحسّاسة باستخدام وحدة التخزين الخارجية.

استخدام مزوّدو المحتوى

يقدّم مزودو المحتوى آلية تخزين منظّمة يمكن أن تقتصر على التطبيق أو يتمّ تصديرها للسماح بوصول تطبيقات أخرى. تكون هذه التفاصيل متاحة بشكل عام عند عدد قليل من الشركات النامية. ولكن نقوم في TEDMOB، بتوظيف مطورين لا يعرفون سوى البرمجة والأمن طيلة اليوم.

استخدام الأذونات - طلب الأذونات - إنشاء الأذونات: هي أيضًا بعض الوظائف التي يجب الانتباه لها. إذا استرسلنا في الحديث عن الأمن، تكون القائمة طويلة بينما كلّ ما تحتاجون إلى معرفته وما هو مهمّ هو أنّكم في بعض الأحيان، بحاجةٍ إلى خبراء في أمن التطبيقات.

ويؤدي اتّباع هذه الممارسات كعادات البرمجة العامة إلى تقليل احتمال إدخال مسائل أمنية عن غير قصد قد تؤثّر سلبًا على المستخدمين.

الخلاصة:

لا تخافوا من التمتّع براحة تطبيقات الموبايل أو حتّى من بنائها، ولكن يجب الحذر عند القيام بذلك.

إعرفوا ما تشتركون به (ومن الذي يقوم بتوفيره!) قبل تنزيل تطبيق جديد على هاتفكم الذكي، والجأوا إلى الأشخاص المناسبين الذين لديهم خبرة في بناء تطبيقات آمنة. فلا تدرون، قد تحلّ مكانهما في فترة وجيزة!

إذا كانت لديكم أي أسئلة أخرى في هذا الصدد، لا تتردّدوا في ترك رسالة لنا بالبريد الإلكتروني على info@tedmob.com.

Comments   

Catch up on what you've missed