صارف کے آلے کے مائیکروفون، کیمرہ، اور مقام تک رسائی سے لے کر قائل کرنے والے ایپلیکیشن کلون بنانے تک، ایسے بے شمار سسٹمز موجود ہیں جن کا استعمال کرنے والے پروگرامر موبائل ایپ کے غیر مشتبہ صارفین کے ذاتی ڈیٹا تک رسائی اور اس کا استحصال کرتے ہیں۔
درج ذیل کچھ اہم موبائل ایپلیکیشن سیکیورٹی خطرات ہیں جن کے بارے میں آپ کو جاننا چاہیے۔
1. ملٹی فیکٹر تصدیق کی کمی
ہم میں سے اکثر ایک سے زیادہ اکاؤنٹس میں ایک ہی غیر محفوظ پاس ورڈ استعمال کرنے سے مطمئن نہیں ہیں۔ اب آپ کے پاس صارفین کی تعداد پر غور کریں۔ اس بات سے قطع نظر کہ آیا کسی صارف کے پاس ورڈ سے کسی مختلف تنظیم میں وقفے کے ذریعے سمجھوتہ کیا گیا تھا، پروگرامرز اکثر دوسری ایپلیکیشنز پر پاس ورڈز کی جانچ کرتے ہیں، جو آپ کی تنظیم پر حملہ کا باعث بن سکتے ہیں۔
ملٹی فیکٹر کی توثیق، تصدیق کے تین ممکنہ عناصر میں سے دو کو اکثر استعمال کرتے ہوئے، صارف کی شناخت کو یقینی بنانے سے پہلے صارف کے پاس ورڈ پر مکمل طور پر انحصار نہیں کرتا ہے۔ تصدیق کی یہ اضافی پرت ذاتی استفسار کا جواب، شامل کرنے کے لیے ایک SMS تصدیقی کوڈ، یا بائیو میٹرک تصدیق (فنگر پرنٹ، ریٹنا، وغیرہ) ہو سکتی ہے۔
2. مناسب طریقے سے خفیہ کاری میں ناکامی۔
خفیہ کاری معلومات کو ناقابل فہم کوڈ میں پیش کرنے کا ایک طریقہ ہے جو خفیہ کلید کا استعمال کرتے ہوئے دوبارہ ترجمہ کرنے کے بعد ترجیحی طور پر صرف دیکھنے کے قابل ہے۔ اس طرح، خفیہ کاری سے امتزاج کے تالے کی ترتیب بدل جاتی ہے، تاہم، محتاط رہیں، پروگرامرز تالے چننے میں مہارت رکھتے ہیں۔
جیسا کہ Symantec نے اشارہ کیا ہے، 13.4% خریدار ڈیوائسز اور 10.5% بڑے انٹرپرائز ڈیوائسز میں انکرپشن فعال نہیں ہے۔ اس کا مطلب یہ ہے کہ اگر پروگرامرز ان آلات تک رسائی حاصل کرتے ہیں، تو ذاتی معلومات سادہ متن میں قابل رسائی ہوں گی۔
بدقسمتی سے، سافٹ ویئر کمپنیاں جو خفیہ کاری کا استعمال کرتی ہیں وہ غلطی سے محفوظ نہیں ہیں۔ ڈویلپرز انسان ہیں اور غلطیاں کرتے ہیں جن کا پروگرامر غلط استعمال کر سکتے ہیں۔ خفیہ کاری کے حوالے سے، یہ اندازہ لگانا ضروری ہے کہ آپ کی ایپلیکیشن کے کوڈ کو کریک کرنا کتنا آسان ہے۔
سیکیورٹی کے اس مشترکہ خطرے کے سنگین نتائج ہو سکتے ہیں جن میں محفوظ اختراعی چوری، کوڈ کی چوری، رازداری کی خلاف ورزیاں، اور شہرت کو پہنچنے والا نقصان، صرف چند ایک کا نام بتانا۔
3. ریورس انجینئرنگ
پروگرامنگ کا خیال ریورس انجینئرنگ کے خطرے کے لیے متعدد ایپلی کیشنز کو کھولتا ہے۔ ڈیبگنگ کے لیے بنائے گئے کوڈ میں میٹا ڈیٹا کی صحت مند مقدار اسی طرح حملہ آور کو یہ سمجھنے میں مدد کرتی ہے کہ ایپ کیسے کام کرتی ہے۔
ریورس انجینئرنگ کا استعمال یہ ظاہر کرنے کے لیے کیا جا سکتا ہے کہ ایپلیکیشن بیک اینڈ پر کیسے کام کرتی ہے، انکرپشن الگورتھم کو ظاہر کرتی ہے، سورس کوڈ کو تبدیل کرتی ہے، اور بہت کچھ۔ آپ کا اپنا کوڈ آپ کے خلاف استعمال کیا جا سکتا ہے اور ہیکرز کے لیے راستہ ہموار کیا جا سکتا ہے۔
4. بدنیتی پر مبنی کوڈ انجکشن کی نمائش
صارف کے ذریعے تیار کردہ مواد، فارمز اور مشمولات سے ملتا جلتا، موبائل ایپلیکیشن سیکیورٹی کے لیے اس کے متوقع خطرے کی وجہ سے اکثر نظر انداز کیا جا سکتا ہے۔
مثال کے طور پر ہمیں لاگ ان ڈھانچہ استعمال کرنا چاہیے۔ جب کوئی صارف اپنا صارف نام اور پاس ورڈ داخل کرتا ہے، تو ایپلیکیشن تصدیق کرنے کے لیے سرور سائیڈ ڈیٹا کے ساتھ بات کرتی ہے۔ ایسی ایپلی کیشنز جو اس بات پر پابندی نہیں لگاتی ہیں کہ صارف کون سے حروف کو مؤثر طریقے سے داخل کر سکتا ہے اس سے سرور تک رسائی کے لیے ہیکرز کے انجیکشن کوڈ کا خطرہ چل سکتا ہے۔
اگر ایک بدنیتی پر مبنی صارف لاگ ان ڈھانچے میں JavaScript کی ایک لائن داخل کرتا ہے جو مساوی نشان یا بڑی آنت جیسے حروف سے حفاظت نہیں کرتا ہے، تو وہ بلا شبہ نجی معلومات حاصل کر سکتے ہیں۔
5. ڈیٹا اسٹوریج
غیر محفوظ ڈیٹا اسٹوریج آپ کی درخواست کے اندر متعدد جگہوں پر ہوسکتا ہے۔ اس میں شامل ہے ایس کیو ایل ڈیٹا بیس, کوکی اسٹورز، بائنری ڈیٹا اسٹورز، اور مزید۔
اگر کوئی ہیکر کسی ڈیوائس یا ڈیٹابیس تک رسائی حاصل کرتا ہے، تو وہ اپنی مشینوں میں معلومات پہنچانے کے لیے مستند ایپلی کیشن کو تبدیل کر سکتا ہے۔
یہاں تک کہ جدید انکرپشن سیکیورٹیز بھی بیکار ڈیلیور کی جاتی ہیں جب کوئی ڈیوائس بند یا قائم ہو، جو ہیکرز کو آپریٹنگ سسٹم کی حدود کو نظرانداز کرنے اور انکرپشن کو روکنے کی اجازت دیتی ہے۔
عام طور پر، ڈیٹا، امیجز، اور کلیدی پریس کے ذخیرہ سے نمٹنے کے لیے غیر محفوظ ڈیٹا سٹوریج عمل کی عدم موجودگی سے لایا جاتا ہے۔
اپنے موبائل کی حفاظت کا سب سے مؤثر طریقہ
ہیکرز کو قابو میں رکھنے کے لیے مسلسل جنگ سے قطع نظر، سیکیورٹی کے بہترین طریقوں کے کچھ عام دھاگے ہیں جو بڑی موبائل کمپنیوں کو یقینی بناتے ہیں۔
موبائل ایپلیکیشن سیکیورٹی کے بہترین طریقے
1. سرور سائیڈ کی توثیق کا استعمال کریں۔
ایک کامل دنیا میں، ملٹی فیکٹر تصدیق کی درخواستوں کی سرور سائیڈ پر اجازت ہے اور صرف قابل رسائی اجازت کامیاب ہے۔ اگر آپ کی ایپلی کیشن ڈیٹا کو کلائنٹ سائڈ پر اسٹور کرنے اور ڈیوائس پر قابل رسائی ہونے کی توقع رکھتی ہے، تو یقینی بنائیں کہ انکرپٹڈ ڈیٹا تک رسائی صرف اس وقت کی جاسکتی ہے جب اسناد کی کامیابی سے توثیق ہوجائے۔
2. کرپٹوگرافی الگورتھم اور کلیدی انتظام کا استعمال کریں۔
خفیہ کاری سے متعلق وقفوں سے لڑنے کی ایک حکمت عملی یہ ہے کہ موبائل فون پر حساس ڈیٹا کو ذخیرہ نہ کرنے کی کوشش کی جائے۔ اس میں ہارڈ کوڈ شدہ کلیدیں اور پاس ورڈز شامل ہیں جنہیں سادہ متن میں قابل رسائی بنایا جا سکتا ہے یا حملہ آور سرور تک رسائی کے لیے استعمال کر سکتا ہے۔
3. اس بات کو یقینی بنائیں کہ صارف کے تمام ان پٹ چیک کے معیارات پر پورا اترتے ہیں۔
آپ کی معلومات کی منظوری کی جانچ کرتے وقت ہیکرز تیز ہوتے ہیں۔ وہ آپ کی ایپ کو مسخ شدہ معلومات کے اعتراف کی کسی بھی صلاحیت کے لیے کھوج لگاتے ہیں۔
ان پٹ کی توثیق ایک طریقہ کار ہے جس کی ضمانت دی جاتی ہے کہ عام معلومات کو ان پٹ فیلڈ سے گزارا جاسکتا ہے۔ تصویر اپ لوڈ کرتے وقت، مثال کے طور پر، فائل میں ایک ایکسٹینشن ہونی چاہیے جو معیاری امیج فائل ایکسٹینشن سے مماثل ہو اور اس کا سائز مناسب ہو۔
4. ڈیٹا کے دفاع کے لیے تھریٹ ماڈلز بنائیں
تھریٹ ماڈلنگ ایک ایسی تکنیک ہے جس کا استعمال اس مشکل کو گہرائی سے سمجھنے کے لیے کیا جاتا ہے جس کو حل کیا جا رہا ہے، جہاں مسائل موجود ہو سکتے ہیں، اور ان کے خلاف حفاظت کے طریقہ کار۔
ایک اچھی طرح سے باخبر خطرہ ماڈل ٹیم سے مطالبہ کرتا ہے کہ یہ دیکھیں کہ کس طرح منفرد آپریٹنگ سسٹم، پلیٹ فارم، فریم ورک، اور بیرونی APIs اپنے ڈیٹا کو منتقل اور ذخیرہ کرتے ہیں۔ فریم ورک کے اوپری حصے میں توسیع کرنا اور فریق ثالث APIs کے ساتھ جڑنا آپ کو ان کی ناکامیوں کے لیے بھی کھول سکتا ہے۔
5. معکوس انجینئرنگ کو روکنے کے لیے مبہم
بہت سے معاملات میں، ڈویلپرز کے پاس ماخذ کوڈ تک رسائی کے بغیر موبائل ایپلیکیشن کے UI کی قائل کرنے والی نقلیں بنانے کے لیے ضروری صلاحیتیں اور ٹولز ہوتے ہیں۔ خصوصی کاروباری منطق، پھر، نمایاں طور پر مزید خیالات اور کوششوں کی ضرورت ہے۔
ڈویلپر اپنے کوڈ کو لوگوں کے لیے زیادہ پڑھنے کے قابل بنانے کے لیے انڈینٹیشن کا استعمال کرتے ہیں، حالانکہ پی سی مناسب فارمیٹنگ کے بارے میں کم پرواہ نہیں کرسکتا تھا۔ یہی وجہ ہے کہ minification، جو تمام خالی جگہوں کو ختم کرتا ہے، فعالیت کو برقرار رکھتا ہے لیکن ہیکرز کے لیے کوڈ کو سمجھنا مشکل بنا دیتا ہے۔
مزید دلچسپ ٹیکنالوجی بلاگز کے لیے، ہمارے وزٹ کریں۔ ویب سائٹ.