Օգտատիրոջ սարքի խոսափողին, տեսախցիկին և գտնվելու վայրից օգտվելուց մինչև հավելվածների համոզիչ կլոններ ստեղծելը, կան բազմաթիվ համակարգեր, որոնք ծրագրավորողները օգտագործում են բջջային հավելվածների անկասկած օգտատերերի անձնական տվյալներ մուտք գործելու և շահագործելու համար:
Ստորև բերված են բջջային հավելվածների անվտանգության որոշ կարևոր սպառնալիքներ, որոնց մասին դուք պետք է իմանաք:
1. Բազմաֆակտորային վավերացման բացակայություն
Մեզանից շատերը չեն բավարարվում միևնույն անապահով գաղտնաբառի օգտագործումով բազմաթիվ հաշիվներում: Այժմ հաշվի առեք ձեր ունեցած օգտատերերի թիվը: Անկախ նրանից, թե օգտատիրոջ գաղտնաբառը վտանգվել է այլ կազմակերպությունում ընդմիջման արդյունքում, ծրագրավորողները հաճախակի փորձարկում են գաղտնաբառերը այլ հավելվածներում, ինչը կարող է հանգեցնել ձեր կազմակերպության վրա հարձակման:
Բազմագործոն նույնականացումը, որը հաճախ օգտագործում է հաստատման երեք պոտենցիալ տարրերից երկուսը, ամբողջովին կախված չէ օգտատիրոջ գաղտնաբառից՝ նախքան օգտատիրոջ ինքնությունը ապահովելը: Նույնականացման այս հավելյալ շերտը կարող է լինել անձնական հարցման պատասխանը, SMS-ի հաստատման ծածկագիրը կամ կենսաչափական նույնականացումը (մատնահետք, ցանցաթաղանթ և այլն):
2. Պատշաճ գաղտնագրման ձախողում
Գաղտնագրումը տեղեկատվությունն անվերծանելի կոդի վերածելու միջոց է, որը նախընտրելի է պարզապես դիտել այն բանից հետո, երբ այն հետ թարգմանվել է գաղտնի բանալիով: Որպես այդպիսին, գաղտնագրումը փոխում է համակցված կողպեքի հաջորդականությունը, այնուամենայնիվ, եղեք զգույշ, ծրագրավորողները հմուտ են կողպեքներ ընտրելիս:
Ինչպես նշում է Symantec-ը, գնորդ սարքերի 13.4%-ը և խոշոր ձեռնարկությունների սարքերի 10.5%-ը չունեն գաղտնագրումը միացված: Սա ենթադրում է, որ եթե ծրագրավորողները մուտք ունենան այդ սարքերը, անձնական տեղեկատվությունը հասանելի կլինի պարզ տեքստով:
Ցավոք, ծրագրային ապահովման ընկերությունները, որոնք օգտագործում են կոդավորումը, անձեռնմխելի չեն սխալից: Մշակողները մարդ են և թույլ են տալիս սխալներ, որոնք ծրագրավորողները կարող են չարաշահել: Ինչ վերաբերում է գաղտնագրմանը, ապա կարևոր է գնահատել, թե որքան պարզ կարող է լինել ձեր հավելվածի կոդը կոտրելը:
Անվտանգության այս ընդհանուր խոցելիությունը կարող է ունենալ լուրջ արդյունքներ, ներառյալ պաշտպանված նորարարության գողությունը, ծածկագրի գողությունը, գաղտնիության խախտումները և հեղինակության վնասը, պարզապես մի քանիսը նշելու համար:
3. Հակադարձ ճարտարագիտություն
Ծրագրավորման գաղափարը բազմաթիվ դիմումներ է բացում հակադարձ ճարտարագիտության սպառնալիքի համար: Կոդում տրված մետատվյալների առողջ քանակությունը, որը նախատեսված է վրիպազերծման համար, նույնպես օգնում է հարձակվողին հասկանալ, թե ինչպես է գործում հավելվածը:
Reverse Engineering-ը կարող է օգտագործվել՝ պարզելու, թե ինչպես է հավելվածը գործում հետևի մասում, բացահայտելու գաղտնագրման ալգորիթմները, փոխելու աղբյուրի կոդը և այլն: Ձեր սեփական կոդը կարող է օգտագործվել ձեր դեմ և ճանապարհ հարթել հաքերների համար:
4. Վնասակար կոդի ներարկման բացահայտում
Օգտատերերի կողմից ստեղծված բովանդակությունը, որը նման է ձևերին և բովանդակությանը, հաճախ կարող է անտեսվել բջջային հավելվածների անվտանգությանը սպառնացող վտանգի պատճառով:
Օրինակ, մենք պետք է օգտագործենք մուտքի կառուցվածքը: Երբ օգտատերը մուտքագրում է իր օգտանունը և գաղտնաբառը, իսկությունը հաստատելու համար հավելվածը խոսում է սերվերի կողմի տվյալների հետ: Այն հավելվածները, որոնք չեն սահմանափակում այն նիշերը, որոնք օգտատերը կարող է արդյունավետ կերպով մուտքագրել, վտանգված է, որ հաքերները կոդ ներարկեն սերվեր մուտք գործելու համար:
Եթե չարամիտ օգտատերը մուտքագրում է JavaScript-ի տող մուտքի կառուցվածքի մեջ, որը չի պաշտպանում այնպիսի նիշերից, ինչպիսիք են համարժեք նշանը կամ երկու կետը, նա, անկասկած, կարող է հասնել մասնավոր տեղեկատվության:
5. Տվյալների պահպանում
Անապահով տվյալների պահպանումը կարող է առաջանալ ձեր հավելվածի ներսում բազմաթիվ վայրերում: Սա ներառում է SQL տվյալների բազաներ, թխվածքաբլիթների խանութներ, երկուական տվյալների պահեստներ և այլն:
Եթե հաքերը մուտք է գործում սարք կամ տվյալների բազա, նա կարող է փոխել վավերական հավելվածը՝ տեղեկատվություն փոխանցելու իրենց մեքենաներին:
Նույնիսկ ժամանակակից գաղտնագրման արժեթղթերն անօգուտ են մատակարարվում, երբ սարքը ջեյլբրոքված է կամ հաստատված, ինչը թույլ է տալիս հաքերներին շրջանցել օպերացիոն համակարգի սահմանափակումները և շրջանցել գաղտնագրումը:
Սովորաբար տվյալների անապահով պահեստավորումն առաջանում է տվյալների, պատկերների և ստեղնաշարերի քեշի հետ աշխատելու գործընթացների բացակայության պատճառով:
Ձեր բջջային հեռախոսը պաշտպանելու ամենաարդյունավետ մեթոդը
Անկախ հաքերներին վերահսկողության տակ պահելու հետևողական պայքարից, կան անվտանգության լավագույն փորձի որոշ ընդհանուր թեմաներ, որոնք ապահովում են բջջային խոշոր ընկերությունները:
Բջջային հավելվածների անվտանգության լավագույն փորձը
1. Օգտագործեք սերվերի կողմից վավերացում
Կատարյալ աշխարհում բազմագործոն նույնականացման հարցումները թույլատրվում են սերվերի կողմից, և պարզապես հասանելի թույլտվությունը հաջողված է: Եթե ձեր հավելվածն ակնկալում է, որ տվյալները կպահվեն հաճախորդի կողմից և հասանելի կլինեն սարքում, համոզվեք, որ գաղտնագրված տվյալները հասանելի կլինեն միայն հավատարմագրերը հաջողությամբ վավերացնելուց հետո:
2. Օգտագործեք կրիպտոգրաֆիայի ալգորիթմներ և բանալիների կառավարում
Գաղտնագրման հետ կապված ընդմիջումների դեմ պայքարելու ռազմավարություններից մեկը բջջային հեռախոսի վրա զգայուն տվյալներ չպահելն է: Սա ներառում է կոշտ կոդավորված բանալիներ և գաղտնաբառեր, որոնք կարող են հասանելի լինել պարզ տեքստով կամ օգտագործել հարձակվողը սերվեր մուտք գործելու համար:
3. Համոզվեք, որ օգտագործողի բոլոր մուտքերը համապատասխանում են ստուգման ստանդարտներին
Հաքերները կտրուկ են, երբ փորձարկում են ձեր տեղեկատվության հաստատումը: Նրանք ստուգում են ձեր հավելվածը՝ խեղաթյուրված տեղեկատվության ճանաչման հնարավորության համար:
Մուտքի վավերացումը մեթոդաբանություն է, որը երաշխավորում է, որ սովորական տեղեկատվությունը կարող է անցնել մուտքագրման դաշտով: Պատկեր բեռնելիս, օրինակ, ֆայլը պետք է ունենա ընդլայնում, որը համապատասխանում է ստանդարտ պատկերի ֆայլի ընդարձակմանը և պետք է լինի ողջամիտ չափի:
4. Ստեղծեք սպառնալիքների մոդելներ՝ տվյալների պաշտպանության համար
Սպառնալիքների մոդելավորումը տեխնիկա է, որն օգտագործվում է խորապես հասկանալու համար լուծվող դժվարությունները, որտեղ կարող են խնդիրներ լինել, և դրանցից պաշտպանվելու ընթացակարգերը:
Վտանգների լավ տեղեկացված մոդելը թիմից պահանջում է տեսնել, թե ինչպես են եզակի օպերացիոն համակարգերը, հարթակները, շրջանակները և արտաքին API-ները փոխանցում և պահպանում իրենց տվյալները: Շրջանակների վերևում ընդլայնելը և երրորդ կողմի API-ների հետ կապը կարող են բացել ձեզ նաև դրանց ձախողումների համար:
5. Բծախնդիր՝ հակադարձ ճարտարագիտությունը կանխելու համար
Շատ դեպքերում ծրագրավորողներն ունեն էական կարողություններ և գործիքներ՝ բջջային հավելվածի UI-ի համոզիչ կրկնօրինակներ ստեղծելու համար՝ առանց աղբյուրի կոդը մուտք գործելու: Բացառիկ բիզնես տրամաբանությունը, ապա կրկին, պահանջում է զգալիորեն ավելի շատ գաղափարներ և ջանքեր:
Մշակողները օգտագործում են ներքև՝ իրենց ծածկագիրը մարդկանց համար ավելի ընթեռնելի դարձնելու համար, թեև ԱՀ-ն չէր կարող թքած ունենալ պատշաճ ձևաչափման վրա: Սա է պատճառը, որ փոքրացումը, որը վերացնում է բոլոր տարածքները, պահպանում է ֆունկցիոնալությունը, սակայն հաքերների համար դժվարացնում է կոդը հասկանալը:
Ավելի հետաքրքիր տեխնոլոգիական բլոգների համար այցելեք մեր կայքը.