چگونه میتوان امنیت اپلیکیشن موبایل خود را تست کنید؟
کاربران انتظار دارند اپی که دانلود میکنند علاوه بر امکانات و ویژگی هایی که دارد امن و سالم هم باشد. این موضوع بستگی به شرکت منتشر کننده اپ دارد که این انتظارات را برآورده کند و یا از آن بگذرد.
ایمن نگه داشتن اپ موبایلتان از آسیب کاربران مخرب کار ساده ای نیست درحالیکه یکی از ضروریات است.
تست امنیت موبایل یکی از چرخه های حیات نرم افزار SDLC است.
چرا باید امنیت اپ های موبایل را بسنجیم؟
بسیاری از ما دائما از گوشی های موبایل خود استفاده میکنیم بطوریکه جزئی از کار و زندگی شخصیمان شده است.
ما اطلاعات مربوط به ایمیل های کاری، اطلاعات پزشکی و رمزهای عبورمان را روی دستگاه های موبایل ذخیره میکنیم.
متوسط کاربران تصور میکنند که استفاده از قفل تلفن هوشمند برای در امان نگه داشتن اطلاعات کافی است.
اگر شما یک کاربر موبایل نسبتا حرفه ای یا یک توسعه دهنده اپ باشید بهتر از موارد مهم امنیتی آگاهید.
مواردی که با گسترش استفاده از تلفن های همراه در حال مطرح شدن هست.
حتما داستانهای ترسناکی هم از هک اطلاعات گوشی های همراه را شنیده اید.
همچنین از سیر تکاملی پیشرفت اپ های موبایل مطلعید.
از اپ های real-time گرفته تا اپ های هوشمندی که مسائل بانکداری را مدیریت می کنند.
شما ممکن است چندین راهکار و یا تمرین برای حفظ امنیت داشته باشید. اما در عمل تا زمانیکه یک برنامه موبایل مختص تست استراتژی امنیت نداشته باشید کافی نیست.
راه هایی برای تست ابزار امنیت اپلیکیشن موبایل
-
محیط تان را بشناسید
باید پلت فرم برنامه قابل استفاده اپ خود را بشناسید و در گام بعد موارد قابل حمله بر روی آن سیستم عامل موبایل را بدانید. اندروید، iOS و PhoneGap هر کدام موارد امنیتی مخصوص به خود را دارند.
-
یک لیست از رایج ترین و خطرناک ترین موارد آسیب پذیر تهیه کنید
خطر آسیب پذیری در یک اپ ممکن است با اپ دیگری که توسط شما ساخته می شود متفاوت باشد.
این مسئله در زمان طراحی اپلیکیشن اهمیت دارد که شما یک ارزیابی خطر را برای بخش های مختلف برنامه تان داشته باشید.
خطر آسیب پذیری در بخش های مختلف برنامه ممکن است با هم متفاوت باشد و نمره متفاوتی در طی موارد تست آسیب پذیری بگیرد.
-
تمرین دفاع در عمق
تست امنیت برنامه های موبایل شبیه تست نرم افزار های تحت وب شامل محدوده ای از تفاوت ها در انواع و ابزار آزمایش است.
این آزمایشات شامل آنالیزهای ثابت، آنالیز های پویا و تست های نفوذ پذیری میشود.
هر کدام از بخش های نرم افزار موبایلی که استفاده میکنیم ممکن است یکی از این انواع آسیب پذیری را داشته باشد.
برای آنالیزهای کد بروش استاتیک از SDLC قبل از انتشار اپ و یا آپدیت آن استفاده کنید.
استفاده از آنالیز های پویا برای تست برنامه در یک محیط اجرا کمک میکند تا پروسه های نرم افزار قابل اندازه گیری و تکرار باشند.
-
تست نرم افزار های موبایل با هکر های فرضی
ممکن است این بخش برای توسعه دهندگان کمی نامفهوم باشد. چراکه آنها کدی که نوشته اند را میبینند و آن را براساس آنچه که نوشته اند قضاوت میکنند که بیشتر هم از نظر قابلیت و سادگی آن را میسنجند.
چشم های یک هکر طور دیگری به کدها نگاه میکند.
اگر چیزی در مورد آسیب هایی که ممکن است به نرم افزارتان برسد نمیدانید توصیه میشود که آن را از سایت های مختلفی که این موارد را آموزش داده اند کمک بگیرید.
-
از نرم افزارهای اپن سورسی که برای تست امنیت اپ های نوشته شده اند کمک بگیرید
در این قسمت چند نرم افزار اپن سورس که مخصوص تست امنیت نرم افزارهای موبایل نوشته شده اند معرفی می شود.
OWASP Zed
یکی از مشهور ترین نرم افزار های رایگان تست اپ های موبایل OWASP هست.
این نرم افزار امکانات باکیفیت و تعداد بیشماری از انواع آسیب پذیری را بررسی میکند که این تعداد مرتبا به روز میشوند.
OWASP ZAP را از اینجا دانلود کنید
MobiSec
MobiSec یک محیط زنده برای تست نرم افزار های موبایل ارائه میدهد که شامل تست زیرساخت ها و تست خود دستگاه هم می شود.
MobiSec را از اینجا دانلود کنید
iMAS
یک پروژه تحقیقاتی برای شرکت MITRE است، iMAS یک فریم ورک تست امنیت اپلیکیشن برای ios است که بمنظور کاهش آسیب پذیری و از دست رفتن داده در نرم افزار های روی دستگاه های ios اختصاص داده شده است.
iMAS را از اینجا دانلود کنید
QARK
شرکت Linkedin یک ابزار تست امنیت نرم افزارهای موبایل را بصورت متن باز ارائه کرده است که به توسعه دهندگان کمک میکند تا آسیب های رایج اپ های موبایل را در کدشان تشخیص دهند.
این نرم افزار برای اپ های مخصوص اندروید نوشته شده است.
QARK را از اینجا دانلود کنید
چه جالب! استفاده از این ها همه رایگان هست؟
بله. نرم افزار های معرفی شده متن باز و رایگان هستند.
مطلب بسیار مفیدی بود.
خوشحالم که براتون مفید بوده 🙂
سلام و درود
اینم لینک نمونه ایرانی تستر اپ موبایل هست
https://mss.ashnasecure.com/
ممنون بخاطر معرفی یک تستر ایرانی.
موفق باشید.