ارائه مقالات رسمی طراحي اپ موبایل

برای طراحی این نوع از تهدید ها سایبری، معمولاً در یک گوشه و کنار مشابه ساز نصب گردیده و با رسیدگی طرز تلاش اپلیکیشن و شنود و تغییر و تحول ترافیک آن در حین جاری ساختن، داده ها اصلی و حیاتی کسب می‌شود. بعنوان نمونه نفوذگر ممکن میباشد با دسترسی به ترافیک بخشی از اپ که مسؤل رسیدگی صدق گواهینامه امنیتی میباشد، شرایط آن را تغییر‌و طراحی اپلیکیشن در مشهد تحول داده و دسترسی های غیر مجاز را، مجاز کند. این تهدید‌ها بسیار بدون شوخی بوده و بصورت دائمی و روزانه به وسیله نفوذگران گزینه به کار گیری قرار می‌گیرند. سازمانهایی که آیتم سوء به کارگیری قرار میگیرند، ممکن میباشد اعتبار خویش را از دست بدهند، داده ها حساس خویش و یا این که مشتریانشان فاش خواهد شد و یااینکه با ضرروزیان مالی ناشی از تقلب در تراکنشها مواجه شوند.

کیفیت سوء به کار گیری نفوذگران از زخم پذیری ها
نفوذگران با به کارگیری از ابزارهای برگرداندن نرم افزار (Decompiler, Disassembler) کوشش می نمایند تا داده ها حساس و یا این که الگوریتم عملکردی نرم افزار را حصول کنند؛ به این ترتیب سوء به کار گیری از چنین تهدیدها مستلزم نصب و اجرای اپ وجود ندارد. ولی برای سوء به کار گیری از زخم پذیری های پویا، ما یحتاج میباشد نرم افزار بر روی یک دستگاه یا این که اطراف مشابه ساز نصب خواهد شد.

سه نوع از همه گیرترین زخم پذیری هایی که بصورت کبیر ای بوسیله نفوذگران آیتم به کار گیری قرار میگیرند، عبارتند از:

استحصال کلید ارتباطی API (API key extraction)
نفوذگران ممکن میباشد بعد از دسترسی به متن کد، به‌دنبال آدرسهای ارتباطی نرم‌افزار کاوش نمایند. با دسترسی به کلیدهای ارتباطی (API key)، می‌توانند از آن برای بقیه نرم افزار های خویش به کارگیری کرده و پرداختهای دورن طرحی خویش را سوای پرداخت هزینه، ایفا دهند؛ یا این که ممکن میباشد این کلیدها را در بازار سیاه فروخته و یا این که در دسترس مردم قرار دهند تا منافع دنیوی صاحب و مالک نرم افزار را با خطر دورازشوخی مواجه سازند.

سرقت نشانی IP، تزریق بدافزار (malware insertion) و تکثیر ورژن های تقلبی

درین نوع از هجوم ها، مهاجمان بعداز دانلود اپ و بازیابی متن آن، قابلیت و امکان اشکال وخیم کاری ها مانند تزریق بد افزار به متن نرم افزار و ساخت و ساز ورژن تقلبی، سرقت IP و غیرفعال کردن تحقیق گواهینامه های امنیتی وجود خواهد داشت. ورژن تقلبی نرم افزار ممکن میباشد مجدداً بر روی فروشگاهها قرار داده گردیده و یوزرها معدود توجه، با دانلود ورژن تقلبی، عملاً در دام نفوذگر گرفتار شوند.

سرقت (Piracy) یا این که برداشت از اعتبار (credential harvesting)
در شکل به کارگیری یوزرها از ورژن های تقلبی اپلیکیشنها، داده ها حساس آنان – سوای آنکه تغییری در کردار نرم افزار قابل مشاهده باشد- به وسیله نفوذگر قابل شنود خواهد بود. بدین ترتیب نفوذگر قادر است از این داده ها سوء به کار گیری کرده و یا این که آن‌ها‌را در بازار سیاه به فروش برساند.

مثال های فراوانی از چنین تهاجم ها در سرتاسر عالم گزارش گردیده است. یکی مثال های بارز آن، سرقت داده ها جغرافیایی یوزرها در بازی دارای شهرت Pokemon Go میباشد. اگرچه توسعه و گسترش دهندگان این بازی، رسیدگی های اول اطراف نصب را اعمال داده بودند و دستورالعملهای رسیدگی فضا نصب (Root Checker) را مد حیث قرار داده بودند، البته نفوذگران با بدور زدن (Bypass) این بررسیها، پیروز به بی تاثیر کردن آن و نصب اپ بر روی تلفنهای root گردیده کردند. شبیه این مورد در پلتفرم iOS نیز برای اپلیکیشنهای Photo Vault و Keepsake رخداد و نفوذگران با مهندسی معکوس اپلیکیشن، کدهای حساسی را که بصورت متن بدیهی (Clear text) داخل نرم‌افزار مصرف شده بود، کسب کردند. این عمل با به کار گیری از نصب اپ بر روی گوشیهای jailbreak گردیده اجرا شد و کلمه ها عبور به آسانی در دسترس نفوذگران قرار گرفت. در اینجا نیز خلال شکننده بودن اپ در قبال مهندسی معکوس، دور و بر نصب اپ نیز در حین نصب گزینه رسیدگی قرار نمی گرفت و مهاجم از همین رخنه های امنیتی، غایت به کار گیری را بعمل آورد.

برای طراحی این نوع از تهدید ها سایبری، معمولاً در یک گوشه و کنار مشابه ساز نصب گردیده و با رسیدگی طرز تلاش اپلیکیشن و شنود و تغییر و تحول ترافیک آن در حین جاری ساختن، داده ها اصلی و حیاتی کسب می‌شود. بعنوان نمونه نفوذگر ممکن میباشد با دسترسی به ترافیک بخشی از اپ که مسؤل رسیدگی صدق گواهینامه امنیتی میباشد، شرایط آن را تغییر‌و طراحی اپلیکیشن در مشهد تحول داده و دسترسی های غیر مجاز را، مجاز کند. این تهدید‌ها بسیار بدون شوخی بوده و بصورت دائمی و روزانه به وسیله نفوذگران گزینه به کار گیری قرار می‌گیرند. سازمانهایی که آیتم سوء به کارگیری قرار میگیرند، ممکن میباشد اعتبار خویش را از دست بدهند، داده ها حساس خویش و یا این که مشتریانشان فاش خواهد شد و یااینکه با ضرروزیان مالی ناشی از تقلب در تراکنشها مواجه شوند.

کیفیت سوء به کار گیری نفوذگران از زخم پذیری ها
نفوذگران با به کارگیری از ابزارهای برگرداندن نرم افزار (Decompiler, Disassembler) کوشش می نمایند تا داده ها حساس و یا این که الگوریتم عملکردی نرم افزار را حصول کنند؛ به این ترتیب سوء به کار گیری از چنین تهدیدها مستلزم نصب و اجرای اپ وجود ندارد. ولی برای سوء به کار گیری از زخم پذیری های پویا، ما یحتاج میباشد نرم افزار بر روی یک دستگاه یا این که اطراف مشابه ساز نصب خواهد شد.

سه نوع از همه گیرترین زخم پذیری هایی که بصورت کبیر ای بوسیله نفوذگران آیتم به کار گیری قرار میگیرند، عبارتند از:

استحصال کلید ارتباطی API (API key extraction)
نفوذگران ممکن میباشد بعد از دسترسی به متن کد، به‌دنبال آدرسهای ارتباطی نرم‌افزار کاوش نمایند. با دسترسی به کلیدهای ارتباطی (API key)، می‌توانند از آن برای بقیه نرم افزار های خویش به کارگیری کرده و پرداختهای دورن طرحی خویش را سوای پرداخت هزینه، ایفا دهند؛ یا این که ممکن میباشد این کلیدها را در بازار سیاه فروخته و یا این که در دسترس مردم قرار دهند تا منافع دنیوی صاحب و مالک نرم افزار را با خطر دورازشوخی مواجه سازند.

سرقت نشانی IP، تزریق بدافزار (malware insertion) و تکثیر ورژن های تقلبی

درین نوع از هجوم ها، مهاجمان بعداز دانلود اپ و بازیابی متن آن، قابلیت و امکان اشکال وخیم کاری ها مانند تزریق بد افزار به متن نرم افزار و ساخت و ساز ورژن تقلبی، سرقت IP و غیرفعال کردن تحقیق گواهینامه های امنیتی وجود خواهد داشت. ورژن تقلبی نرم افزار ممکن میباشد مجدداً بر روی فروشگاهها قرار داده گردیده و یوزرها معدود توجه، با دانلود ورژن تقلبی، عملاً در دام نفوذگر گرفتار شوند.

سرقت (Piracy) یا این که برداشت از اعتبار (credential harvesting)
در شکل به کارگیری یوزرها از ورژن های تقلبی اپلیکیشنها، داده ها حساس آنان – سوای آنکه تغییری در کردار نرم افزار قابل مشاهده باشد- به وسیله نفوذگر قابل شنود خواهد بود. بدین ترتیب نفوذگر قادر است از این داده ها سوء به کار گیری کرده و یا این که آن‌ها‌را در بازار سیاه به فروش برساند.

مثال های فراوانی از چنین تهاجم ها در سرتاسر عالم گزارش گردیده است. یکی مثال های بارز آن، سرقت داده ها جغرافیایی یوزرها در بازی دارای شهرت Pokemon Go میباشد. اگرچه توسعه و گسترش دهندگان این بازی، رسیدگی های اول اطراف نصب را اعمال داده بودند و دستورالعملهای رسیدگی فضا نصب (Root Checker) را مد حیث قرار داده بودند، البته نفوذگران با بدور زدن (Bypass) این بررسیها، پیروز به بی تاثیر کردن آن و نصب اپ بر روی تلفنهای root گردیده کردند. شبیه این مورد در پلتفرم iOS نیز برای اپلیکیشنهای Photo Vault و Keepsake رخداد و نفوذگران با مهندسی معکوس اپلیکیشن، کدهای حساسی را که بصورت متن بدیهی (Clear text) داخل نرم‌افزار مصرف شده بود، کسب کردند. این عمل با به کار گیری از نصب اپ بر روی گوشیهای jailbreak گردیده اجرا شد و کلمه ها عبور به آسانی در دسترس نفوذگران قرار گرفت. در اینجا نیز خلال شکننده بودن اپ در قبال مهندسی معکوس، دور و بر نصب اپ نیز در حین نصب گزینه رسیدگی قرار نمی گرفت و مهاجم از همین رخنه های امنیتی، غایت به کار گیری را بعمل آورد.