ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮಾಹಿತಿ ಸುರಕ್ಷತೆ. ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಭದ್ರತೆ

ಒಬ್ ಸೈ ಅಲ್ಸ್ ಕ್ಲೆನ್ಯುಂಟರ್ನೆಹ್ಮರ್ ಓಡರ್ ಫರ್ ಐನೆನ್ ಬಹುರಾಷ್ಟ್ರೀಯ ಕೊನ್ಜೆರ್ನ್ ಟಾಟಿಗ್ ಸಿಂಡ್, ಡೈ ಸೊಲ್ಟೆ ಜೆಡೆನ್ ಇಮ್ ಅನ್ಟರ್ನೆಹ್ಮೆನ್ ಆಂಗೆಹೆನ್ ಉಂಡ್ ಜು ಡೆನ್ ವೊರ್ಡ್ರಿಂಗ್ಲಿಚ್ಸ್ಟೆನ್ ಆಫ್ಗಾಬೆನ್ ಡೆರ್ ಐಟಿ ಗೆಹೋರೆನ್. Der unaufhaltsame Trend zur Cloud und die neue BYOD-Mentalität (ನಿಮ್ಮ ಸ್ವಂತ ಸಾಧನವನ್ನು ತನ್ನಿ) führen dazu, dass praktisch jeder Mitarbeiter zu jeder Zeit Zugriff auf Ihre Unternehmensdaten hat. ಆದ್ದರಿಂದ ಸಿಂಡ್ ಇಹ್ರೆ ಡೇಟೆನ್ ಸಿಚೆರ್ಹೀಟ್ಸ್ರಿಸಿಕೆನ್ ಡರ್ಚ್ ಹ್ಯಾಕರ್, ವೈರೆನ್ ಉಂಡ್ ಆಂಡ್ರೆ ಆಂಗ್ರಿಫರ್ ಆಸ್ಗೆಸೆಟ್ಜ್.

Möglicherweise ist Ihnen ಡೈ ಸಿಚುಯೇಶನ್ ಬೆರೀಟ್ಸ್ ಬೆರೀಟ್ಸ್, ಸೋಡಾಸ್ ಸೈ ವೋರ್ಕೆಹ್ರುಂಗೆನ್ ಜುಮ್ ಸ್ಚುಟ್ಜ್ ಮೊಬೈಲರ್ ಡೇಟೆನ್ ಗೆಟ್ರೋಫೆನ್ ಹ್ಯಾಬೆನ್. ಅಲರ್ಡಿಂಗ್ಸ್ ಸ್ಟೆಲ್ಟ್ ಸಿಚ್ ಡೈ ಫ್ರೇಜ್, ಒಬ್ ಇಹ್ರೆ ಸಿಚೆರ್ಹೀಟ್ಸ್ಲೋಸುಂಗ್ ಜೆನೆಜೆಂಡ್ ಶುಟ್ಜ್ ವೋರ್ ಡೆರ್ ಝುನೆಹ್ಮೆಂಡೆನ್ ಬೆಡ್ರೊಹಂಗ್ ಮೊಬೈಲರ್ ಡೇಟೆನ್ ಗೇವಾಹ್ರ್ಲಿಸ್ಟೆಟ್. ಹೈಯರ್ ಐನಿಜ್ ಫಂಕ್ಶನ್, ಔಫ್ ಡೈ ಎಸ್ ಬೀ ಡೆರ್ ವಾಲ್ ಡೆರ್ ರಿಚ್ಟಿಜೆನ್ ಅನ್ಕೊಮ್ಟ್.

ಕಂಟೈನರ್ ಓಡರ್ ಪರ್ಸನಾಸ್ ಔಫ್ ಗೆರೆಟೀಬೆನ್: ಮಿಥಿಲ್ಫ್ ವಾನ್ ಕಂಟೈನರ್ನ್ ಓಡರ್ ಪರ್ಸನಾಸ್ ಔಫ್ ಗೆರಾಟೀಬೆನ್ ಕಾನ್ ಇಹರ್ ಐಟಿ-ಟೀಮ್ ಔಫ್ ಡೆಮ್ ಬಿಯೋಡ್-ಗೆರಾಟ್ ಐನೆಸ್ ನಟ್ಜರ್ಸ್ ಐನ್ ಉಮ್ಗೆಬಂಗ್ ಓಡರ್ ಐನೆನ್ ಸ್ಚೈನೆನ್ ಇಚ್ಟೆನರ್, ührt ಉಂಡ್ ಡರ್ಚ್ ಸ್ಪೆಜಿಫಿಸ್ಚೆ ಪ್ರೊಟೊಕೊಲ್ಲೆ ಗೆಸ್ಚುಟ್ಜ್ಟ್ ವರ್ಡೆನ್. ಆದ್ದರಿಂದ ಮುಸ್ ದಾಸ್ ಸಿಚೆರ್ಹೀಟ್ಸ್ಕೊನ್ಜೆಪ್ಟ್ ನಿಚ್ಟ್ ಔಫ್ ದಾಸ್ ಗೆಸಮ್ಟೆ ಸ್ಮಾರ್ಟ್ಫೋನ್ ಆಂಗ್ವೆಂಡೆಟ್ ವರ್ಡೆನ್, ಇಹ್ರೆ ಡೇಟನ್ ಸಿಂಡ್ ಟ್ರೋಟ್ಜ್ಡೆಮ್ ಗೆಸ್ಚುಟ್ಜ್ಟ್, ಉಂಡ್ ದಾಸ್ ಗೆರಾಟ್ ಕನ್ ವೈಟರ್ಹಿನ್ ಯುನೆಂಗಸ್ಚ್ರ್ಯಾಂಕ್ಟ್ ಫರ್ ಪ್ರೈವೇಟ್ ಝ್ವೆಕ್ವೆರ್ ಡೆನಟ್ಜ್ಟ್.

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್ (MAM): MAM ಟ್ರಗ್ಟ್ ಜುಮ್ ಸ್ಚುಟ್ಜ್ ಮೊಬೈಲ್ ಡಾಟೆನ್ ಬೀ, ಇಂಡೆಮ್ ಇಹರ್ ಐಟಿ-ಟೀಮ್ ಮಿಟರ್‌ಬೈಟರ್ನ್ ಡೆನ್ ಜುಗ್ರಿಫ್ ಔಫ್ ಸ್ಪೆಜಿಫಿಸ್ಚೆ ಅನ್ವೆನ್‌ಡುಂಗೆನ್ ಎರ್ಮಾಗ್ಲಿಚ್ಟ್, ಡೈ ಸೈ ಫರ್ ಡೈ ಅರ್ಬೀಟ್ ನಟ್ಜೆನ್ ಡರ್ಫೆನ್. ಡಾ ಡೈ ಅನ್ವೆನ್ಡುಂಗೆನ್ ವೊಮ್ ಐಟಿ-ಟೀಮ್ ಉಬರ್ವಾಚ್ಟ್ ವರ್ಡೆನ್, ಕೊನ್ನೆನ್ ಸೈ ಜೆಡರ್ಜಿಟ್ ಪರ್ ರಿಮೋಟೆಝುಗ್ರಿಫ್ ಎಂಟ್ಫರ್ಂಟ್ ವರ್ಡೆನ್. ಡೈಸ್ ಇಸ್ಟ್ ವಾನ್ ವೋರ್ಟೆಲ್, ವೆನ್ ಐನ್ ಮಿಟಾರ್ಬೈಟರ್ ಸೀನ್ ಗೆರಾಟ್ ವರ್ಲಿಯರ್ಟ್ ಓಡರ್ ದಾಸ್ ಅನ್ಟರ್ನೆಹ್ಮೆನ್ ನಿಚ್ ಇಮ್ ಐನ್ವರ್ನೆಹ್ಮೆನ್ ವರ್ಲಾಸ್ಟ್.
Verschlüsselungsprotokolle: ಮೊಬೈಲ್ Sicherheitslösungen ಬೈಟೆನ್ ಔಚ್ ಡೈ Möglichkeit, Verschlüsselungsprotokolle ಉಂಡ್ -ಟೆಕ್ನೋಲೊಜಿಯನ್ ಜು ಕೊಂಬಿನಿಯರೆನ್, ಉಮ್ ಇಹ್ರೆ ಡೇಟೆನ್ ಪ್ರಾಕ್ಟಿಸ್ಚ್ ಉಬೆರಾಲ್ ಜು ಸ್ಚುಟ್ಜೆನ್. Eine Lösung sollte Protokolle und Technologien kombiniert nutzen, beispielsweise ಟ್ರಾನ್ಸ್‌ಪೋರ್ಟ್ ಲೇಯರ್ ಸೆಕ್ಯುರಿಟಿ/ಸೆಕ್ಯೂರ್ ಸಾಕೆಟ್ಸ್ ಲೇಯರ್ (TLS/SSL), ಇಂಟರ್ನೆಟ್ ಪ್ರೋಟೋಕಾಲ್ ಸೆಕ್ಯುರಿಟಿ (IPsec), ಅಡ್ವಾನ್ಸ್‌ಡ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ (AES)-256 und Bitchlockers. So dehnen Sie Ihr Sicherheitsnetz aus und können Ihre Daten umfassender schützen als mit einer Lösung, bei der nur eines dieser Protokolle zum Einsatz kommt.
ಬಹು-ಅಂಶದ ದೃಢೀಕರಣ: ಐನೆ ಲೊಸಂಗ್, ಡೈ ಮೆಹರ್ಸ್ಟುಫಿಜ್ ಅಥೆಂಟಿಫೈಝೆರಂಗ್ (ಮಲ್ಟಿ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್) ಮತ್ತು ಎಸ್‌ಎಸ್‌ಒ (ಏಕ ಚಿಹ್ನೆ-ಆನ್) ನಟ್ಜಂಗ್ ಡೆರ್ ಬೆನೊ ಟಿಗ್ಟೆನ್ ಡೇಟಿಯನ್. ಡೈ Authentifizierung Lässt sich beispielsweise durch einen Telefonanruf, eine SMS oder eine Benachrichtigung auf dem Mobilgerät verifizieren und ist schnell und einfach bestätigt. Einige Multi-Factor Authentication-Lösungen bieten zudem Sicherheitsüberwachung in Echtzeit und nutzen auf Machine learning basierende Berichte. ಡರ್ಚ್ ಡೈ ಐಡೆಂಟಿಫಿಕೇಶನ್ ಇನ್ಕೊನ್ಸಿಸ್ಟೆಂಟರ್ ಅನ್ಮೆಲ್ಡೆಮಸ್ಟರ್ ಲಾಸ್ಸೆನ್ ಸಿಚ್ ವರ್ಡಾಚ್ಟಿಗೆ ಆಕ್ಟಿವಿಟಾಟೆನ್ ಎರ್ಮಿಟೆಲ್ನ್, ಔಫ್ ಡೈ ದಾಸ್ ಐಟಿ-ಟೀಮ್ ಸಾಫ್ಟ್ ರೀಜಿರೆನ್ ಕಾನ್.

ಡೈ ನಟ್ಜಂಗ್ ಪ್ರೈವೇಟರ್ ಗೆರೆಟ್ ಇನ್ ಅನ್ಟರ್ನೆಹ್ಮೆನ್ ಜೆಡರ್ ಗ್ರೋಸ್ ಬೂಮ್ಟ್. Deshalb reicht es längst nicht mehr aus, Nur Mobilgeräte zu schützen. ಸ್ಟ್ಯಾಟ್‌ಡೆಸ್ಸೆನ್ ಬೆನೊಟಿಜೆನ್ ಸೈ ಐನೆ ಉಂಫಾಸ್ಸೆಂಡೆ ಡೇಟೆನ್ಸ್‌ಚುಟ್ಜ್‌ಸ್ಟ್ರಾಟೆಜಿ, ಡೈ ಅಲ್ಲೆ ಮೊಗ್ಲಿಚ್‌ಕೀಟೆನ್ ಡೆಸ್ ಮೊಬೈಲ್ನ್ ಡೇಟೆನ್‌ಜುಗ್ರಿಫ್ಸ್ ಅಬ್ಡೆಕ್ಟ್. ಕೀನೆ ಸಿಚೆರ್ಹೀಟ್ಸ್ಲೋಸುಂಗ್ ಕನ್ನ್ ಇಹರ್ ಅನ್ಟರ್ನೆಹ್ಮೆನ್ ವೋಲ್ಸ್ಟಾಂಡಿಗ್ ವೋರ್ ಬೆಡ್ರೋಹುಂಗೆನ್ ಸ್ಚುಟ್ಜೆನ್. Sie sollten auf ein Paket setzen, das verschiedene Maßnahmen bündelt, regelmäßig aktualisiert wird und sowohl Nationale als auch Internationale Normen erfüllt. ಆದ್ದರಿಂದ sorgen Sie dafür, dass Ihre Daten nach neuesten Sicherheitsstandards geschützt sind – egal, wo oder Wie darauf zugegriffen wird.

ಆಪಲ್ ಮತ್ತು ಆಂಡ್ರಾಯ್ಡ್ ಸಾಧನಗಳಿಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್ ಸ್ಟೋರ್‌ಗಳ ವಿಷಯಗಳ ವಿಶ್ಲೇಷಣೆಯು 14 ಸಾವಿರವನ್ನು ಬಹಿರಂಗಪಡಿಸಿತು. ಸಂಶಯಾಸ್ಪದ ಕಾರ್ಯಕ್ರಮಗಳು.

ಒಟ್ಟಾರೆಯಾಗಿ, ತಜ್ಞರು ಸುಮಾರು 400 ಸಾವಿರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದರು, ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ವಿವಿಧ ಕೈಗಾರಿಕೆಗಳಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿರುವ ನಿಗಮಗಳ ಉದ್ಯೋಗಿಗಳು ಸ್ಥಾಪಿಸುತ್ತಾರೆ - ಹಣಕಾಸು ಸೇವೆಗಳು, ಮಾಧ್ಯಮ, ದೂರಸಂಪರ್ಕ, ಇತ್ಯಾದಿ. ಅಧ್ಯಯನ ಮಾಡಿದ 3% ಕಾರ್ಯಕ್ರಮಗಳು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಎದುರಿಸುತ್ತಿವೆ ಎಂದು ಅದು ಬದಲಾಯಿತು.

ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಈ ಪ್ರಕಾರದ 85% ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಪ್ರಮುಖ ಗೌಪ್ಯ ಮಾಹಿತಿಯ ವಿಶ್ವಾಸಾರ್ಹ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸುವುದಿಲ್ಲ - ಉದಾಹರಣೆಗೆ, ಚಂದಾದಾರರ ಸ್ಥಳ, ಇತಿಹಾಸ, ಸಂಪರ್ಕಗಳು, ಕ್ಯಾಲೆಂಡರ್ ಗುರುತುಗಳು, SMS ಸಂದೇಶಗಳು, ಸಾಧನ ಗುರುತಿಸುವಿಕೆಗಳು.

ಜೊತೆಗೆ, 14 ಸಾವಿರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ 32% ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಗಳು. ಈ ಕಾರ್ಯಕ್ರಮಗಳಿಗೆ ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳು ಬೇಕಾಗುತ್ತವೆ ಎಂದು ಹೇಳೋಣ, ಅದು ಅಂತಿಮವಾಗಿ ಅವುಗಳನ್ನು ಅನ್‌ಇನ್‌ಸ್ಟಾಲ್ ಮಾಡಲು, ಇನ್‌ಸ್ಟಾಲ್ ಮಾಡಲು ಅಥವಾ ಇತರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಆಲಿಸಿ ದೂರವಾಣಿ ಸಂಭಾಷಣೆಗಳು, ಆಂಟಿ-ವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ, ಬ್ಯಾಂಕ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಸಂಗ್ರಹ ಡೇಟಾವನ್ನು ವೀಕ್ಷಿಸಿ.

35% ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಮಾಹಿತಿಯನ್ನು ಸ್ವೀಕರಿಸಲು ಮತ್ತು ಫಾರ್ವರ್ಡ್ ಮಾಡಲು ಬಯಸುತ್ತವೆ - ಬ್ರೌಸರ್ ಇತಿಹಾಸ, ಕ್ಯಾಲೆಂಡರ್ ಟಿಪ್ಪಣಿಗಳು, ವ್ಯಕ್ತಿಯ ಚಲನೆಗಳು. ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರರಿಗೆ ಬಳಕೆದಾರರ ಸಂಪೂರ್ಣ ಪ್ರೊಫೈಲ್ ಮತ್ತು ಅವರ ಸಾಮಾಜಿಕ ಸಂಪರ್ಕಗಳನ್ನು ರಚಿಸಲು ಅವಕಾಶವನ್ನು ನೀಡಲಾಗುತ್ತದೆ.

ಈ ಸಾಫ್ಟ್‌ವೇರ್‌ನಿಂದ ಉಂಟಾಗುವ ಗಂಭೀರ ಅಪಾಯಗಳ ಬಗ್ಗೆ ತಜ್ಞರು ಎಚ್ಚರಿಸಿದ್ದಾರೆ. ಪ್ರಶ್ನಾರ್ಹ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಕುರಿತು ಎಲ್ಲಾ ಜವಾಬ್ದಾರಿಯುತ ಪಕ್ಷಗಳಿಗೆ ಸೂಚನೆ ನೀಡಲಾಗಿದೆ ಎಂದು ವೆರಾಕೋಡ್ ಹೇಳಿದರು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಇನ್ನೂ ಅಂಗಡಿಗಳಲ್ಲಿ ಲಭ್ಯವಿದೆ ಮತ್ತು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು ಎಂದು CSO ಹೇಳುತ್ತದೆ. ಹೀಗಾಗಿ, ಆಡಿಯೊಬುಕ್ಸ್ ಲೇಜಿ ಲಿಸನ್ ಅನ್ನು ಕೇಳಲು ಚೈನೀಸ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಈಗಾಗಲೇ 500 ಸಾವಿರ ಬಾರಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಆದರೆ ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಇದು ಪ್ರಾಯೋಗಿಕವಾಗಿ ಪತ್ತೇದಾರಿ ಪ್ರೋಗ್ರಾಂ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಅನುಮತಿ ಕೇಳುತ್ತದೆ. ವೆರಾಕೋಡ್ ಪ್ರಕಾರ, ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ಸಂಗ್ರಹಿಸಲಾದ ಮಾಹಿತಿಯನ್ನು ಚಂದಾದಾರರಿಗೆ ಸೇವೆಯ ಗುಣಮಟ್ಟವನ್ನು ಸುಧಾರಿಸಲು ಬಳಸಲಾಗುವುದಿಲ್ಲ.

FireEye ಪ್ರಕಟಿಸಿದ ವರದಿಯು iOS ಮತ್ತು Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಕಠೋರ ಚಿತ್ರವನ್ನು ಚಿತ್ರಿಸುತ್ತದೆ, ಇವುಗಳನ್ನು ಒಟ್ಟು 6 ಶತಕೋಟಿ ಬಾರಿ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾಗಿದೆ. ಫೈರ್‌ಐ ಪ್ರಕಾರ, ಐಒಎಸ್ ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುವ ಪ್ಯಾಚ್ ಅನ್ನು ಆಪಲ್ ಬಿಡುಗಡೆ ಮಾಡಿದ ನಂತರವೂ ಇದು ಹೀಗಿದೆ: “ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ಐಒಎಸ್ ಪ್ಯಾಚ್‌ಗಳ ನಂತರವೂ, ಸಾಧನವು RSA_EXPORT ಸೈಫರ್‌ಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಸರ್ವರ್‌ಗಳಿಗೆ ಸಂಪರ್ಕಗೊಂಡಾಗ ಅಂತಹ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಇನ್ನೂ ಫ್ರೀಕ್‌ಗೆ ಗುರಿಯಾಗುತ್ತವೆ.”

FREAK ದಾಳಿಯು ಸಾಧ್ಯ ಏಕೆಂದರೆ ಸರ್ವರ್‌ಗಳು US ಸರ್ಕಾರದಿಂದ ರಫ್ತು ಮಾಡಲು ಅನುಮೋದಿಸಲಾದ 512-ಬಿಟ್ RSA ಕೀಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಒತ್ತಾಯಿಸಬಹುದು (ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಮತ್ತು ಸಾಕಷ್ಟು ಸಾಧಾರಣ ಕಂಪ್ಯೂಟಿಂಗ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ ಎಂದು ಭಾವಿಸಲಾದ ಹಳೆಯ ಕಲಾಕೃತಿ).

Google Play ನಲ್ಲಿ 11,000 ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿದೆ, ಪ್ರತಿಯೊಂದೂ ಕನಿಷ್ಠ ಒಂದು ಮಿಲಿಯನ್ ಡೌನ್‌ಲೋಡ್‌ಗಳನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ದುರ್ಬಲವಾದ ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಿಸಲು ದುರ್ಬಲ OpenSSL ಲೈಬ್ರರಿಯ ಬಳಕೆಯಿಂದಾಗಿ 1,228 ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅಪಾಯದಲ್ಲಿದೆ ಎಂದು FireEye ಹೇಳಿದೆ. ಅವರಲ್ಲಿ 664 ಜನರು ಆಂಡ್ರಾಯ್ಡ್‌ನೊಂದಿಗೆ ಬರುವ OpenSSL ಲೈಬ್ರರಿಯನ್ನು ಬಳಸಿದ್ದಾರೆ ಮತ್ತು 564 ಲೈಬ್ರರಿಯನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಕಂಪೈಲ್ ಮಾಡಿದ್ದಾರೆ. FireEye ಪ್ರಕಾರ, iOS ಭಾಗದಲ್ಲಿ ಸಮಸ್ಯೆಯು ಕಡಿಮೆ ಗಂಭೀರವಾಗಿದೆ: 14 ಸಾವಿರ ಸ್ಕ್ಯಾನ್ ಮಾಡಿದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ, 771 ದುರ್ಬಲ HTTPS ಸರ್ವರ್‌ಗಳಿಗೆ ಸಂಪರ್ಕಗೊಂಡಿದೆ. “ಈ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಫ್ರೀಕ್ ದಾಳಿಗೆ ಗುರಿಯಾಗುತ್ತವೆ ಐಒಎಸ್ ಆವೃತ್ತಿಗಳು 8.2 ಕ್ಕಿಂತ ಕಡಿಮೆ ಎಂದು ಸಂಶೋಧಕರು ಬರೆದಿದ್ದಾರೆ. "ಆ 771 ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಏಳು OpenSSL ನ ತಮ್ಮದೇ ಆದ ದುರ್ಬಲ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುತ್ತವೆ ಮತ್ತು ಅವುಗಳು iOS 8.2 ನಲ್ಲಿ ದುರ್ಬಲವಾಗಿರುತ್ತವೆ." ಹೆಚ್ಚಿನ ದುರ್ಬಲ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಬಳಕೆದಾರರ ಗೌಪ್ಯತೆ ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ವರ್ಗಗಳಿಗೆ ಸೇರುತ್ತವೆ ಮತ್ತು ಫೋಟೋ ಮತ್ತು ವೀಡಿಯೊ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಸಾಮಾಜಿಕ ನೆಟ್‌ವರ್ಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಆರೋಗ್ಯ ಮತ್ತು ಫಿಟ್‌ನೆಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಹಣಕಾಸು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಸಂವಹನ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಶಾಪಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಜೀವನಶೈಲಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಜೊತೆಗೆ ವೈದ್ಯಕೀಯ ಅನ್ವಯಿಕೆಗಳು. 512-ಬಿಟ್ ಕೀಗಳು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ವಾರ್ಫೇರ್ನ ಕಲಾಕೃತಿಯಾಗಿದೆ - US ಸರ್ಕಾರವು ಅವುಗಳನ್ನು ರಫ್ತು ಬಳಕೆಗಾಗಿ ಅನುಮೋದಿಸಿದೆ. ದುರ್ಬಲಗೊಂಡ ಕ್ರಿಪ್ಟೋ ಪ್ಯಾಕೇಜುಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಹೆಚ್ಚಿನ ಸರ್ವರ್‌ಗಳಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ ಎಂದು ಹೆಚ್ಚಿನ ತಜ್ಞರು ನಂಬಿದ್ದರು, ಆದರೆ ಮೈಕ್ರೋಸಾಫ್ಟ್ ರಿಸರ್ಚ್ ಮತ್ತು INRIA (ಫ್ರಾನ್ಸ್‌ನಲ್ಲಿ ಕೆಲಸ ಮಾಡುವ ರಾಷ್ಟ್ರೀಯ ಸಂಶೋಧನಾ ಸಂಸ್ಥೆ) ಮಾಡಿದ ವರದಿಯವರೆಗೂ ಇದು ನಿಜವಾಗಿರಲಿಲ್ಲ. ಗಣಕ ಯಂತ್ರ ವಿಜ್ಞಾನ, ನಿಯಂತ್ರಣ ಸಿದ್ಧಾಂತ ಮತ್ತು ಅನ್ವಯಿಕ ಗಣಿತ).

ಕಿಂಗ್ಸ್ ಕಾಲೇಜ್ ಅಧ್ಯಯನವು ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ಮತ್ತು ಪ್ರಮುಖ ತಂತ್ರಜ್ಞಾನ ಪೂರೈಕೆದಾರರು ದುರ್ಬಲಗೊಂಡ ಕ್ರಿಪ್ಟೋ ಪ್ಯಾಕೇಜ್‌ಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ತ್ವರಿತವಾಗಿ ತೆಗೆದುಹಾಕುತ್ತಿದ್ದಾರೆ ಎಂದು ತೋರಿಸಿದೆ. ಆರಂಭಿಕ ಲೆಕ್ಕಾಚಾರಗಳು 26% ಸರ್ವರ್‌ಗಳು ಫ್ರೀಕ್‌ಗೆ ಗುರಿಯಾಗುತ್ತವೆ ಎಂದು ತೋರಿಸಿದೆ, ಆದರೆ ಕಿಂಗ್ಸ್ ಕಾಲೇಜ್ ಆ ಸಂಖ್ಯೆಯು ಸುಮಾರು 11% ಕ್ಕೆ ಇಳಿದಿದೆ ಎಂದು ನಿರ್ಧರಿಸಿತು. ಅದೇ ಸಮಯದಲ್ಲಿ, FREAK ಶೋಷಣೆಗಳು ತಮ್ಮ ಮಿತಿಗಳನ್ನು ಹೊಂದಿವೆ, ತಜ್ಞರ ಪ್ರಕಾರ, ಅವರಿಗೆ TLS ಸಂಪರ್ಕದಲ್ಲಿ ಆಕ್ರಮಣಕಾರರಿಂದ ಸಕ್ರಿಯ ಹಸ್ತಕ್ಷೇಪದ ಅಗತ್ಯವಿರುತ್ತದೆ, ಅಂದರೆ, ಅವರು ಈಗಾಗಲೇ ಸರ್ವರ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು. ರಾಪಿಡ್ 7 ನಲ್ಲಿ ಮುಖ್ಯ ಎಂಜಿನಿಯರ್ ಟಾಡ್ ಬಿಯರ್ಡ್ಸ್ಲೆ ಹೇಳಿದರು ಪ್ರಾಯೋಗಿಕ ಪರಿಣಾಮಈ ದೋಷದಿಂದ ಸೀಮಿತವಾಗಿದೆ. "ಆಕ್ಟಿವ್ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್‌ಗೆ ಅದರ ಅಗತ್ಯತೆಯಿಂದಾಗಿ, ಹೆಚ್ಚಿನ-ಸುರಕ್ಷತಾ ನೆಟ್‌ವರ್ಕ್ ಪರಿಸರದಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿಸುವ ಸ್ಪೈಸ್‌ಗಳಿಗೆ ಈ ದೋಷವು ತುಂಬಾ ಉಪಯುಕ್ತವಾಗಿದೆ" ಎಂದು ಅವರು ಹೇಳಿದರು. - ಸಾಮಾನ್ಯ ಇಂಟರ್ನೆಟ್ ಅಪರಾಧಿಗಳಿಗೆ ಇದು ತುಂಬಾ ಉಪಯುಕ್ತವಲ್ಲ, ಏಕೆಂದರೆ ಇನ್ನೂ ಅನೇಕರು ಇದ್ದಾರೆ ಸರಳ ಮಾರ್ಗಗಳುವಿಭಿನ್ನ ತೊಂದರೆ ಹಂತಗಳಲ್ಲಿ ಬಳಕೆದಾರರ ದಟ್ಟಣೆಯನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಮತ್ತು ಸಂಗ್ರಹಿಸಲು."

ಹೀಗಾಗಿ, iOS ಗಾಗಿ 35% ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು ಮತ್ತು Android ಗಾಗಿ 15% ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು SSL ನ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆಗೆ ಸಂಬಂಧಿಸಿದ ದುರ್ಬಲತೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಅಂದರೆ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ಣಾಯಕ ಪಾವತಿ ಡೇಟಾವನ್ನು ತಡೆಹಿಡಿಯಬಹುದು. 22% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು SQL ಇಂಜೆಕ್ಷನ್‌ಗೆ ಗುರಿಯಾಗುತ್ತವೆ, ಕೆಲವು ಸರಳ ಪ್ರಶ್ನೆಗಳೊಂದಿಗೆ ಎಲ್ಲಾ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಕದಿಯುವ ಅಪಾಯವನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ. 70% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು 20% Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳು XSS ಗೆ ಸಂಭಾವ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುತ್ತವೆ - ಇದು ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ನ ಬಳಕೆದಾರರನ್ನು ತಪ್ಪುದಾರಿಗೆಳೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ದಾಳಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ಮತ್ತು ಉದಾಹರಣೆಗೆ, ಅವರ ದೃಢೀಕರಣ ಡೇಟಾವನ್ನು ಕದಿಯುತ್ತದೆ. 45% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು XXE ದಾಳಿಗಳಿಗೆ ಗುರಿಯಾಗುತ್ತವೆ, ವಿಶೇಷವಾಗಿ ರಷ್ಯಾದಲ್ಲಿ ಜನಪ್ರಿಯವಾಗಿರುವ ಜೈಲ್ ಬ್ರೇಕ್ ಕಾರ್ಯಾಚರಣೆಗೆ ಒಳಪಟ್ಟ ಸಾಧನಗಳಿಗೆ ಅಪಾಯಕಾರಿ. ಸುಮಾರು 22% Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅಂತರ್-ಪ್ರಕ್ರಿಯೆ ಸಂವಹನ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುತ್ತವೆ, ಸೂಕ್ಷ್ಮ ಬ್ಯಾಂಕಿಂಗ್ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅನುಮತಿಸುತ್ತದೆ.

ಈ ನಿರ್ದಿಷ್ಟ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂಗಳ ಮೇಲೆ ಏಕೆ ದಾಳಿ ಮಾಡಲಾಯಿತು? ಓಎಸ್ ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ಐಒಎಸ್ ಇಂದು ಅತ್ಯಂತ ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ಹೊಂದಿವೆ ದೊಡ್ಡ ಸಂಖ್ಯೆಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳುಅವರ Google Play ಮತ್ತು App Store ನಲ್ಲಿ ಕ್ರಮವಾಗಿ). ಭೌತಿಕ ಪ್ರವೇಶದೊಂದಿಗೆ, ಆಕ್ರಮಣಕಾರರು ಫೈಲ್ ಸಿಸ್ಟಮ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು. ಅಪ್ಲಿಕೇಶನ್ ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ದೃಢೀಕರಣ ಡೇಟಾ ಅಥವಾ ಇತರ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಿದರೆ, ಆಕ್ರಮಣಕಾರರು ಈ ಡೇಟಾವನ್ನು ಪಡೆದುಕೊಳ್ಳಲು ಮತ್ತು ಹಣವನ್ನು ಕದಿಯಲು ಸುಲಭವಾಗುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ ದಾಳಿ ಮಾಡಲು, ನೀವು ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ಅಥವಾ ಡ್ರೈವ್-ಬೈ-ಡೌನ್‌ಲೋಡ್ ದಾಳಿಯನ್ನು ಬಳಸಿಕೊಂಡು ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ, ಆಕ್ರಮಣಕಾರರು ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಓಎಸ್ ದುರ್ಬಲತೆಗಾಗಿ ಶೋಷಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ತನ್ನ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಬಹುದು ಮತ್ತು ಪಡೆಯಬಹುದು ದೂರಸ್ಥ ಪ್ರವೇಶಜೊತೆಗೆ ಸಾಧನಕ್ಕೆ ಸಂಪೂರ್ಣ ಹಕ್ಕುಗಳುಪ್ರವೇಶ, ಇದು ಸಾಧನದ ಸಂಪೂರ್ಣ ರಾಜಿಗೆ ಕಾರಣವಾಗುತ್ತದೆ: ಆಕ್ರಮಣಕಾರರು ನಿರ್ಣಾಯಕ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಕದಿಯಲು ಅಥವಾ ಪಾವತಿ ವಹಿವಾಟು ಡೇಟಾವನ್ನು ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಸಂವಹನ ದಾಳಿಗಳು: ಕ್ಲಾಸಿಕ್ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯು ಕ್ಲೈಂಟ್ ಸಾಧನ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸುತ್ತದೆ. ಇದನ್ನು ಮಾಡಲು, ನೀವು ಬಲಿಪಶುವಿನಂತೆಯೇ ಅದೇ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರಬೇಕು, ಉದಾಹರಣೆಗೆ ಸಾರ್ವಜನಿಕವಾಗಿ Wi-Fi ನೆಟ್ವರ್ಕ್ಗಳುಅಥವಾ ನಕಲಿ ವೈರ್‌ಲೆಸ್ ಪ್ರವೇಶ ಬಿಂದುಗಳು ಮತ್ತು ನಕಲಿ ಬೇಸ್ ಸ್ಟೇಷನ್‌ಗಳನ್ನು ಬಳಸಿ. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆಯ ಅಗತ್ಯವಿದೆ: ರವಾನೆಯಾದ ಡೇಟಾದ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆ ಅಥವಾ ಡೇಟಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ಸಂಪೂರ್ಣ ಕೊರತೆ. SSL ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸದಿರುವುದು ಸಾಮಾನ್ಯ ಉದಾಹರಣೆಯಾಗಿದೆ. ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಕದ್ದಾಲಿಕೆ ಮಾಡಬಹುದು ಮತ್ತು ವರ್ಗಾವಣೆಗೊಂಡ ಡೇಟಾವನ್ನು ಬದಲಾಯಿಸಬಹುದು, ಇದು ಅಂತಿಮವಾಗಿ ಕ್ಲೈಂಟ್‌ನ ಖಾತೆಯಿಂದ ಹಣದ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು. ಸಾಧನವನ್ನು (ಐಒಎಸ್) ಜೈಲ್‌ಬ್ರೇಕಿಂಗ್ ಮಾಡುವುದು ಅಥವಾ ಬಳಕೆದಾರರ ಸಾಧನದಲ್ಲಿ (ಆಂಡ್ರಾಯ್ಡ್) ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವುದು ಸಾಧನದ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವನ್ನು ಗಣನೀಯವಾಗಿ ಕಡಿಮೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಆಕ್ರಮಣಕಾರರಿಗೆ ದಾಳಿ ಮಾಡಲು ಸುಲಭವಾಗುತ್ತದೆ ಎಂದು ಗಮನಿಸಬೇಕಾದ ಅಂಶವಾಗಿದೆ.

ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಹಳೆಯ ಪ್ರಸಿದ್ಧ ಬೆದರಿಕೆಗಳಿಗೆ ಮತ್ತು ಇನ್ನೂ ಸಂಪೂರ್ಣವಾಗಿ ಅಧ್ಯಯನ ಮಾಡದ ಹೊಸದಕ್ಕೆ ಒಳಗಾಗುತ್ತವೆ. ದುರುದ್ದೇಶಪೂರಿತ Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಹರಡುವಿಕೆ ಬೆಳೆಯುತ್ತಿದೆ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳಿಗೆ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳು ನಿರ್ಣಾಯಕ ಬಳಕೆದಾರರ ಡೇಟಾ, ಹಣದ ಕಳ್ಳತನ ಮತ್ತು ಬ್ಯಾಂಕಿನ ಖ್ಯಾತಿಗೆ ಹಾನಿಯಾಗುವ ಅಪಾಯವನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ. ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ಗಳ ಡೆವಲಪರ್‌ಗಳು ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಗಮನ ನೀಡುವುದಿಲ್ಲ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಮಾರ್ಗಸೂಚಿಗಳನ್ನು ಅನುಸರಿಸುವುದಿಲ್ಲ. ಡೆವಲಪರ್‌ಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಸುರಕ್ಷಿತ ಕೋಡ್ ಮತ್ತು ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ.

ಸ್ಟ್ಯಾಟಿಕ್ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆಯ ಆಧಾರದ ಮೇಲೆ ಅಧ್ಯಯನವು, ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು ನಿಧಿಯ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗುವ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ನ್ಯೂನತೆಗಳನ್ನು ಹೊಂದಿರುತ್ತವೆ ಎಂದು ತೋರಿಸುತ್ತದೆ. ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವು ಸಾಂಪ್ರದಾಯಿಕ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವನ್ನು ಮೀರುವುದಿಲ್ಲ, ಆದರೆ ಅವುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು ಹೆಚ್ಚಿದ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು ಸೂಚಿಸುತ್ತವೆ.

ಅಧ್ಯಯನದ ಪ್ರಾರಂಭದ ಮೊದಲು, ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಾಗಿ ನಿರ್ದಿಷ್ಟ ದೋಷಗಳ ಸಂಖ್ಯೆಯು ಸಾಮಾನ್ಯವಾಗಿ ತಿಳಿದಿರುವ ಸಂಖ್ಯೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಮೀರುತ್ತದೆ ಎಂದು ಊಹಿಸಲಾಗಿದೆ. ಆದರೆ ಪರಿಣಾಮವಾಗಿ, ನೀವು ಎರಡೂ ವರ್ಗಗಳಲ್ಲಿ ಸರಿಸುಮಾರು ಒಂದೇ ಪ್ರಮಾಣದ ದುರ್ಬಲತೆಯನ್ನು ನೋಡಬಹುದು. ಇದರರ್ಥ ಚೆನ್ನಾಗಿ ನಡೆಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವುದು ತಿಳಿದಿರುವ ದಾಳಿಗಳುಮತ್ತು ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಅವುಗಳ ನಿಶ್ಚಿತಗಳ ಅರಿವಿಲ್ಲದೆ.

ದಾಳಿಕೋರರಿಗೆ ದಾಳಿ ನಡೆಸಲು ಹಲವು ಮಾರ್ಗಗಳಿವೆ. ಇದಲ್ಲದೆ, ಸಂಭವನೀಯ ಪ್ರಯೋಜನಗಳಿಗೆ ಹೋಲಿಸಿದರೆ ನೈಜ ಪರಿಸರದಲ್ಲಿ ದಾಳಿ ನಡೆಸುವ ವೆಚ್ಚವು ತುಂಬಾ ಕಡಿಮೆಯಿರುತ್ತದೆ.

ಮೊಬೈಲ್ ಸಾಧನಗಳಿಗೆ ಆಧುನಿಕ ರಕ್ಷಣಾ ಸಾಧನಗಳು - ಆಂಟಿವೈರಸ್ MDM ಪರಿಹಾರಗಳು, ಇತ್ಯಾದಿ. ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಬಹುದು, ಆದರೆ ಸಮಸ್ಯೆಗಳ ಸಂಪೂರ್ಣ ಶ್ರೇಣಿಯನ್ನು ಪರಿಹರಿಸುವುದಿಲ್ಲ. ಸಿಸ್ಟಂ ವಿನ್ಯಾಸದ ಹಂತದಲ್ಲಿ ಭದ್ರತೆಯನ್ನು ಪರಿಚಯಿಸಬೇಕು ಮತ್ತು ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಅನುಷ್ಠಾನ ಹಂತ ಸೇರಿದಂತೆ ಕಾರ್ಯಕ್ರಮದ ಜೀವನ ಚಕ್ರದ ಎಲ್ಲಾ ಹಂತಗಳಲ್ಲಿಯೂ ಇರಬೇಕು. ಕೋಡ್ ಲೆಕ್ಕಪರಿಶೋಧನೆ, ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ನುಗ್ಗುವ ಪರೀಕ್ಷೆಯನ್ನು ಕೈಗೊಳ್ಳುವುದು ಅವಶ್ಯಕ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಬಳಸುವಾಗ ಅಪಾಯಗಳು ಅಪ್ಲಿಕೇಶನ್‌ನ ಭದ್ರತೆಗೆ ವಿಲೋಮ ಅನುಪಾತದಲ್ಲಿರುತ್ತವೆ. ಆದ್ದರಿಂದ, ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಸಮಗ್ರ ಲೆಕ್ಕಪರಿಶೋಧನೆ ಅಗತ್ಯ. ಬ್ಯಾಂಕಿಂಗ್ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಇಂಟರ್ನೆಟ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಗಿಂತ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಗೆ ಕಡಿಮೆ ಗಮನ ಹರಿಸಬಾರದು.

V. A. ಅರ್ಟಮೊನೊವ್

ಮೊಬೈಲ್ ಸಾಧನಗಳು, ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳು

ಭಾಗ 5

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಬೆದರಿಕೆಗಳು ಮತ್ತು ದುರ್ಬಲತೆಗಳು

ಸಂಸ್ಥೆಗಳ ಆಧುನಿಕ ಜಗತ್ತಿನಲ್ಲಿ ಮತ್ತು ವ್ಯಕ್ತಿಗಳುತಮ್ಮ ಮಿಷನ್-ಕ್ರಿಟಿಕಲ್ ವ್ಯಾಪಾರ ಉಪಕ್ರಮಗಳನ್ನು ಬೆಂಬಲಿಸಲು ಮೊಬೈಲ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮೇಲೆ ಹೆಚ್ಚು ಅವಲಂಬಿತರಾಗಿದ್ದಾರೆ. ಇದರರ್ಥ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯು ಬ್ಯಾಂಕಿಂಗ್ ಸೇರಿದಂತೆ ಮೊಬೈಲ್ ವಹಿವಾಟು ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸುವ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ವ್ಯಕ್ತಿಗಳ ವ್ಯವಹಾರ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಭದ್ರತಾ ಕಾರ್ಯತಂತ್ರದ ಪ್ರಮುಖ ಆದ್ಯತೆಯಾಗಿರಬೇಕು.

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಅಭಿವೃದ್ಧಿಯ ಹೆಚ್ಚುತ್ತಿರುವ ಜನಪ್ರಿಯತೆಯೊಂದಿಗೆ, ಅವರ ಬಂಡವಾಳದ ತೀವ್ರತೆಯು ಹೆಚ್ಚಾಗುತ್ತದೆ ಮತ್ತು ಇದರೊಂದಿಗೆ, ದಾಳಿಕೋರರು ಈ ಬಂಡವಾಳವನ್ನು ತಮ್ಮ ಖಾತೆಗಳಿಗೆ ವರ್ಗಾಯಿಸಲು ಬಯಸುತ್ತಾರೆ. ಅನೇಕ ಆಧುನಿಕ ಮೊಬೈಲ್ ಕಾರ್ಯಕ್ರಮಗಳುಆಂತರಿಕ ಖರೀದಿಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಜೊತೆಗೆ SMS ಕಳುಹಿಸಲಾಗುತ್ತಿದೆಪಾವತಿಸಿದ ಸಂಖ್ಯೆಗಳಿಗೆ, ಇವುಗಳು ಹ್ಯಾಕರ್‌ಗಳು ಬಳಸಿಕೊಳ್ಳಬಹುದಾದ ಲೋಪದೋಷಗಳಾಗಿವೆ. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ರಚಿಸಲು ಎಷ್ಟು ವೆಚ್ಚವಾಗುತ್ತದೆ ಎಂಬುದು ಒಂದು ವಿಷಯ, ಮತ್ತು ಅದನ್ನು ಸುರಕ್ಷಿತವಾಗಿಸಲು ಎಷ್ಟು ವೆಚ್ಚವಾಗುತ್ತದೆ ಎಂಬುದು ಇನ್ನೊಂದು ವಿಷಯ. ಮೊಬೈಲ್ ಸಾಧನಗಳಿಂದ ಹಣವನ್ನು ಹ್ಯಾಕಿಂಗ್ ಮಾಡಲು ಮತ್ತು ಹೊರತೆಗೆಯಲು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಕಾರ್ಯವಿಧಾನಗಳು ಪ್ರತಿವರ್ಷ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ, ಆದರೆ ಅದೇ ಸಮಯದಲ್ಲಿ, ಬೆದರಿಕೆಗಳನ್ನು ಸಮಯೋಚಿತವಾಗಿ ಎದುರಿಸುವ ಸಾಮರ್ಥ್ಯವು ಬೆಳೆಯುತ್ತಿದೆ. ಮುಚ್ಚಿದ ವ್ಯವಸ್ಥೆಗಳು, ನಿರ್ದಿಷ್ಟವಾಗಿ ಐಒಎಸ್, ಈ ಪ್ರವೃತ್ತಿಗಳಿಗೆ ಕನಿಷ್ಠ ಒಳಗಾಗುತ್ತವೆ, ಏಕೆಂದರೆ ಅದರ ವಾಸ್ತುಶಿಲ್ಪವು ಅದರಲ್ಲಿ ವೈರಸ್ಗಳು ಕಾಣಿಸಿಕೊಳ್ಳಲು ಪ್ರಾಯೋಗಿಕವಾಗಿ ಅಸಾಧ್ಯವಾದ ರೀತಿಯಲ್ಲಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.

ಇತರ ವಿಷಯಗಳ ಪೈಕಿ, ಐಫೋನ್ಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವುದು, ಸಾಮಾನ್ಯವಾಗಿ, ಇದು ನೋಂದಾಯಿಸಲು ಹೆಚ್ಚು ಸುಲಭವಲ್ಲ; ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ಇತರ ವ್ಯವಸ್ಥೆಗಳಿಗೆ. Android ಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಅಭಿವೃದ್ಧಿಯು ಸರಳವಾಗಿದೆ ಮತ್ತು ಅದರ ಬೆಲೆಗಳು ಕಡಿಮೆಯಾಗಿದೆ; ಖಾಸಗಿ ಇಮೇಲ್ ಅಥವಾ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ಪರಿಣಾಮಕಾರಿ ರಕ್ಷಣೆಯ ಸಮಸ್ಯೆಯು ವಿಶೇಷವಾಗಿ ತೀವ್ರವಾಗಿರುತ್ತದೆ, ಅಲ್ಲಿ ಯಾವುದೇ ಡೇಟಾ ಕಳ್ಳತನವು ಅಗಾಧ ಅಪಾಯಗಳು ಮತ್ತು ಹಣಕಾಸಿನ ನಷ್ಟಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು. ಅಭಿವರ್ಧಕರು ಪರಿಚಯಿಸುವ ಮೂಲಕ ಅಂತಹ ಕಾರ್ಯಕ್ರಮಗಳಲ್ಲಿ ದೃಢೀಕರಣ ಕಾರ್ಯವಿಧಾನವನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತಾರೆ ಹೆಚ್ಚುವರಿ ತಪಾಸಣೆಗಳುದೃಢೀಕರಣ, ಆದಾಗ್ಯೂ, ಖಾತೆಯ ಲಾಗಿನ್ ಪ್ರಕ್ರಿಯೆಯು ತುಂಬಾ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುವ ಮತ್ತು ಅನನುಕೂಲಕರವಾದಾಗ ಆ ದುರ್ಬಲವಾದ ರೇಖೆಯನ್ನು ದಾಟದಿರುವುದು ಇಲ್ಲಿ ಮುಖ್ಯವಾಗಿದೆ.

IBM X-Force ನಡೆಸಿದ ಸಂಶೋಧನೆಯು ಮೊಬೈಲ್ ಮತ್ತು WEB ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಗಮನಾರ್ಹ ಶೇಕಡಾವಾರು ದುರ್ಬಲತೆಗಳನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ತೋರಿಸುತ್ತದೆ. ತಮ್ಮ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ರಕ್ಷಿಸಲು, ಸಂಸ್ಥೆಗಳು ಪೋಷಕ ಸಾಫ್ಟ್‌ವೇರ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವ್ಯಾಪಕ ಪರೀಕ್ಷೆಯನ್ನು ನಡೆಸಬೇಕಾಗುತ್ತದೆ. ಮೊಬೈಲ್ ತಂತ್ರಜ್ಞಾನದ ಅಳವಡಿಕೆಯ ಆರಂಭದಲ್ಲಿ ಪರೀಕ್ಷೆ ಮತ್ತು ಮೌಲ್ಯೀಕರಣವು ಭದ್ರತಾ ವೆಚ್ಚವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಪರಿಹಾರಗಳು ಈ ಕೆಳಗಿನ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಬೇಕು:

- ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಕಾರ್ಯಕ್ರಮ ನಿರ್ವಹಣೆಯ ದಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸುವುದು;

- ದುರ್ಬಲತೆಗಳಿಗಾಗಿ ಮೂಲ ಕೋಡ್, ವೆಬ್ ಮತ್ತು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವಿಶ್ಲೇಷಣೆ;

- ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸ್ಥಿರ ಮತ್ತು ಕ್ರಿಯಾತ್ಮಕ ಪರೀಕ್ಷೆಯ ಫಲಿತಾಂಶಗಳ ಆಟೊಮೇಷನ್;

ಪಾರದರ್ಶಕ ಬಾಕ್ಸ್ ಪರೀಕ್ಷೆ (ಇಂಟರಾಕ್ಟಿವ್ ಅಪ್ಲಿಕೇಶನ್ ಸೆಕ್ಯುರಿಟಿ ಟೆಸ್ಟಿಂಗ್‌ನ ಒಂದು ರೂಪ (IAST) ಸೇರಿದಂತೆ ಒಂದೇ ಕನ್ಸೋಲ್‌ನಿಂದ ಅಪ್ಲಿಕೇಶನ್ ಪರೀಕ್ಷೆ, ವರದಿಗಳು ಮತ್ತು ನೀತಿಗಳನ್ನು ನಿರ್ವಹಿಸಿ.

ಮೊಬೈಲ್ ಸಾಧನಗಳಿಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವರ್ಗೀಕರಣ.

ಮೊಬೈಲ್ ಸಾಧನಗಳಿಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಅನೇಕ ಮಾನದಂಡಗಳ ಪ್ರಕಾರ ವರ್ಗೀಕರಿಸಬಹುದು, ಆದರೆ ಅಪ್ಲಿಕೇಶನ್ ಸುರಕ್ಷತೆಯ ಸಂದರ್ಭದಲ್ಲಿ ನಾವು ಈ ಕೆಳಗಿನವುಗಳಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೇವೆ: ಅಪ್ಲಿಕೇಶನ್‌ನ ಸ್ಥಳ ಮತ್ತು ಬಳಸಿದ ಡೇಟಾ ವರ್ಗಾವಣೆ ತಂತ್ರಜ್ಞಾನದ ಪ್ರಕಾರ.

ಅಪ್ಲಿಕೇಶನ್ ಸ್ಥಳದ ಮೂಲಕ:

ಸಿಮ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - ಸಿಮ್ ಕಾರ್ಡ್‌ನಲ್ಲಿನ ಅಪ್ಲಿಕೇಶನ್, ಸಿಮ್ ಅಪ್ಲಿಕೇಶನ್ ಟೂಲ್‌ಕಿಟ್ (ಎಸ್‌ಟಿಕೆ) ಮಾನದಂಡಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಬರೆಯಲಾಗಿದೆ;
ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - ವೆಬ್‌ಸೈಟ್‌ನ ವಿಶೇಷ ಆವೃತ್ತಿ;
ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ವಿಶೇಷ API ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟ ಮೊಬೈಲ್ OS ಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ.

ಸರ್ವರ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಬಳಸುವ ತಂತ್ರಜ್ಞಾನದ ಪ್ರಕಾರ:

ನೆಟ್‌ವರ್ಕ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - HTTP ಯಂತಹ TCP/IP ಮೂಲಕ ತಮ್ಮದೇ ಆದ ಸಂವಹನ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿ;
SMS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - SMS ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು (ಸಂಕ್ಷಿಪ್ತ ಸಂದೇಶ ಸೇವೆ);
ಅಪ್ಲಿಕೇಶನ್ ಸಣ್ಣ ಪಠ್ಯ ಸಂದೇಶಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸರ್ವರ್‌ನೊಂದಿಗೆ ಮಾಹಿತಿಯನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುತ್ತದೆ;
USSD ಅಪ್ಲಿಕೇಶನ್‌ಗಳು USSD (ಅನ್‌ಸ್ಟ್ರಕ್ಚರ್ಡ್ ಸಪ್ಲಿಮೆಂಟರಿ ಸರ್ವಿಸ್ ಡೇಟಾ) ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ. ಸೇವೆಯು SMS ನಂತೆಯೇ ಕಿರು ಸಂದೇಶಗಳ ಪ್ರಸರಣವನ್ನು ಆಧರಿಸಿದೆ, ಆದರೆ ಹಲವಾರು ವ್ಯತ್ಯಾಸಗಳನ್ನು ಹೊಂದಿದೆ;
IVR ಅಪ್ಲಿಕೇಶನ್‌ಗಳು IVR (ಇಂಟರಾಕ್ಟಿವ್ ವಾಯ್ಸ್ ರೆಸ್ಪಾನ್ಸ್) ತಂತ್ರಜ್ಞಾನವನ್ನು ಆಧರಿಸಿದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ. ವ್ಯವಸ್ಥೆಯು ಪೂರ್ವ-ದಾಖಲಿತವನ್ನು ಆಧರಿಸಿದೆ ಧ್ವನಿ ಸಂದೇಶಗಳುಮತ್ತು ಟೋನ್ ಡಯಲಿಂಗ್.

ಇದು ವಿಶೇಷವಾದ API ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟ ಮೊಬೈಲ್ OS ಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಅನುಗುಣವಾದ ಸೇವೆಯೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಅಥವಾ ಇತರ ಗ್ಯಾಜೆಟ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಅದು ಈಗ ಹೆಚ್ಚು ಸಾಮಾನ್ಯವಾಗಿದೆ, ಏಕೆಂದರೆ ಅವುಗಳು ಮೊಬೈಲ್ ಸಾಧನದ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಬಳಸುತ್ತವೆ ಮತ್ತು ಹೆಚ್ಚು ಸ್ನೇಹಪರವಾಗಿವೆ. ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್.

ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಭದ್ರತಾ ಮಟ್ಟವನ್ನು ನಿರ್ಣಯಿಸುವುದು.

Viaforensics ಕಂಪನಿಯು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ಣಯಿಸುವ ಕ್ಷೇತ್ರದಲ್ಲಿ ವಿಶಿಷ್ಟವಾದ ಅಧ್ಯಯನವನ್ನು ನಡೆಸಿತು, ಇದು ಅಂತಿಮವಾಗಿ ಸಾಕಷ್ಟು ಆಸಕ್ತಿದಾಯಕ ಡೇಟಾವನ್ನು ನೀಡಿತು. ಈ ಕಂಪನಿಯ ಸಂಶೋಧಕರು ಯಾದೃಚ್ಛಿಕವಾಗಿ 30 ಜನಪ್ರಿಯ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಿದರು ಮತ್ತು ಅವುಗಳನ್ನು ಗಂಭೀರವಾದ ವಿಶ್ವಾಸಾರ್ಹತೆ ಪರೀಕ್ಷೆಗೆ ಒಳಪಡಿಸಿದರು. ಪರಿಣಾಮವಾಗಿ, ಘೋಷಿತ ಪರಿಹಾರಗಳಲ್ಲಿ ಸುಮಾರು ಕಾಲು ಭಾಗವನ್ನು ಹ್ಯಾಕಿಂಗ್ ಮೂಲಕ ತೆರೆಯಲಾಯಿತು ಮತ್ತು ಅವುಗಳನ್ನು ಅಸುರಕ್ಷಿತ ಎಂದು ಕರೆಯಲಾಯಿತು. ಸಾಧನದ ಮೆಮೊರಿಯಿಂದ ಸಂಗ್ರಹಿಸಿದ ಪಿನ್ ಕೋಡ್‌ಗಳು ಮತ್ತು ಸಂಖ್ಯೆಗಳನ್ನು ಹೊರತೆಗೆಯಲು ತಜ್ಞರು ಬಾಹ್ಯ ಪ್ರಭಾವಗಳನ್ನು ಬಳಸಲು ಸಮರ್ಥರಾಗಿದ್ದಾರೆ ಕ್ರೆಡಿಟ್ ಕಾರ್ಡ್‌ಗಳು. ಅಲ್ಲದೆ, ಹಲವಾರು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಪಾವತಿ ಇತಿಹಾಸಕ್ಕೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸಲು ಸಾಧ್ಯವಾಯಿತು. ಸಹಜವಾಗಿ, ಈ ಪರಿಸ್ಥಿತಿಯು ಸಾಕಷ್ಟು ಶೋಚನೀಯವಾಗಿ ಕಾಣುತ್ತದೆ, ಸ್ಪಷ್ಟ ಕಾರಣಗಳಿಗಾಗಿ, ನಾವು ಯಾವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತಿದ್ದೇವೆ ಎಂದು ವಯಾಫೊರೆನ್ಸಿಕ್ಸ್ ವರದಿ ಮಾಡುವುದಿಲ್ಲ.

ವಿಶ್ಲೇಷಣಾತ್ಮಕ ಕಂಪನಿ ಡಿಜಿಟಲ್ ಸೆಕ್ಯುರಿಟಿಯ ತಜ್ಞರು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಭೇದಿಸಲು ಹಲವು ಮಾರ್ಗಗಳಿವೆ ಎಂದು ಗಮನಿಸುತ್ತಾರೆ. ಇವುಗಳಲ್ಲಿ ಡೇಟಾ ಚಾನಲ್‌ಗಳ ಕುಶಲತೆ, SQL ಹೇಳಿಕೆಗಳ ಗುಪ್ತ ಇಂಜೆಕ್ಷನ್ ಸಾಧ್ಯತೆ, ತಪ್ಪಾದ ಪ್ರವೇಶ ಹಕ್ಕುಗಳು ಮತ್ತು ಹೆಚ್ಚಿನವು ಸೇರಿವೆ. ಇಂದು, ಮೊಬೈಲ್ ಫೋನ್‌ಗಳಿಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಅಭಿವೃದ್ಧಿಯನ್ನು ಗ್ರಾಹಕರಿಗೆ ಕಡಿಮೆ ಸಮಯದಲ್ಲಿ ಮಾಡಲಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಡೆವಲಪರ್‌ಗಳಿಗೆ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಗಮನ ಹರಿಸಲು ಸಮಯವಿಲ್ಲ.

ಹ್ಯಾಕಿಂಗ್‌ಗೆ ಉಲ್ಲಂಘಿಸುವವರ ವಿಶಿಷ್ಟ ವಿಧಾನಗಳನ್ನು ತಿಳಿದುಕೊಳ್ಳುವುದರಿಂದ, ನಿಮ್ಮ ಸಾಧನದ ರಕ್ಷಣೆಯಲ್ಲಿ ನೀವು ಸ್ವಲ್ಪ ಹೆಚ್ಚು ವಿಶ್ವಾಸ ಹೊಂದಬಹುದು. ಈ ಕ್ಷಣಈ ತಂತ್ರಗಳು ಹೆಚ್ಚು ಅಥವಾ ಕಡಿಮೆ ಸ್ಥಿರವಾಗಿರುತ್ತವೆ, ಹೆಚ್ಚಿನ ಮಾದರಿಗಳನ್ನು ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ. ಐಒಎಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಅಭಿವೃದ್ಧಿಯನ್ನು ಎಲ್ಲಿ ಆದೇಶಿಸಬೇಕು ಎಂದು ನೀವು ಹುಡುಕುತ್ತಿದ್ದರೆ, ನಿರ್ದಿಷ್ಟವಾಗಿ ಹಣಕಾಸಿನ ವಹಿವಾಟುಗಳಿಗಾಗಿ, ಶಕ್ತಿಯುತ ವ್ಯವಸ್ಥೆಯನ್ನು ರಚಿಸಲು ಸಿದ್ಧರಾಗಿರುವ ಸಾಬೀತಾದ ಪ್ರೋಗ್ರಾಮರ್‌ಗಳಿಗೆ ಮಾತ್ರ ಗಮನ ಕೊಡಿ. ಸುರಕ್ಷಿತ ಪ್ರವೇಶ. ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಡಿಸೆಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳು ಅದರ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸದ ರೀತಿಯಲ್ಲಿ ಪರಿಹಾರವನ್ನು ಆರಂಭದಲ್ಲಿ ಬರೆಯುವುದು ಅಪೇಕ್ಷಣೀಯವಾಗಿದೆ. ಅಪ್ಲಿಕೇಶನ್ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ಸಂವಹನ ಚಾನಲ್‌ಗಳ ಮೂಲಕ ಡೇಟಾವನ್ನು ರವಾನಿಸಬಹುದು, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಉತ್ತಮ ಪ್ರತಿವಿಷವು ಶಾಶ್ವತ ಡೇಟಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಆಗಿರುತ್ತದೆ, ಇದನ್ನು ಹೆಚ್ಚಾಗಿ ಸುಧಾರಿತ ಕಾರ್ಯಕ್ರಮಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಅಲ್ಲದೆ, ಪೂರ್ಣ ಪ್ರಮಾಣದ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಸಾರ್ವಕಾಲಿಕ ನವೀಕರಿಸಬೇಕು.

ಪ್ರತಿ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ನಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ತಮ್ಮದೇ ಆದ ನಿರ್ದಿಷ್ಟ ಬರವಣಿಗೆ ಮತ್ತು ತಮ್ಮದೇ ಆದ ನಿರ್ದಿಷ್ಟ ಬೆದರಿಕೆಗಳನ್ನು ಹೊಂದಿವೆ, ಇವುಗಳ ಅನುಷ್ಠಾನವು ಬ್ಯಾಂಕಿಂಗ್ ಡೇಟಾ ಸೇರಿದಂತೆ ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಕಳ್ಳತನ ಮತ್ತು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ನುಗ್ಗುವಿಕೆ ಎರಡಕ್ಕೂ ಕಾರಣವಾಗಬಹುದು.

ಡಿಜಿಟಲ್ ಸೆಕ್ಯುರಿಟಿ ಈ ಕೆಳಗಿನ ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳಲ್ಲಿ ಕ್ಲೈಂಟ್ ಸೈಡ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಭದ್ರತಾ ಆಡಿಟ್ ಅನ್ನು ನಡೆಸಿತು:

ಗೂಗಲ್ ಆಂಡ್ರಾಯ್ಡ್;
Apple iOS (iPhone/iPad);
ಜಾವಾ (J2ME/Java ME);
ವಿಂಡೋಸ್ ಫೋನ್.

ವಿಶಿಷ್ಟ ಬೆದರಿಕೆಗಳು.

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ವಿಶಿಷ್ಟ ಬೆದರಿಕೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ:

- ಸ್ಪಷ್ಟ ರೂಪದಲ್ಲಿ ರಹಸ್ಯ ಡೇಟಾ;

- ಅಸುರಕ್ಷಿತ ಮಾಹಿತಿ ಪ್ರಸರಣ ಚಾನಲ್ಗಳು;

- ಡೀಬಗ್ ಮಾಡುವ ಕೋಡ್‌ನ ಲಭ್ಯತೆ;

- SQL ಹೇಳಿಕೆಗಳ ಅನುಷ್ಠಾನ;

- ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS);

- ಒಳಬರುವ ಡೇಟಾದ ಪರಿಶೀಲನೆಗಳ ಕೊರತೆ;

- ತಪ್ಪಾದ ಪ್ರವೇಶ ಹಕ್ಕುಗಳು;

- ದುರ್ಬಲ ಗುಪ್ತ ಲಿಪಿಶಾಸ್ತ್ರ.

ಆಡಿಟ್ ವಿಧಾನ ಮತ್ತು ಕೆಲಸದ ವಿಷಯ.

ಡಿಜಿಟಲ್ ಸೆಕ್ಯುರಿಟಿ ರಿಸರ್ಚ್ ಸೆಂಟರ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ಕ್ಲೈಂಟ್ ಸೈಡ್‌ನ ಸುರಕ್ಷತೆಯನ್ನು ಲೆಕ್ಕಪರಿಶೋಧಿಸುವ ವಿಧಾನವು ERP ವ್ಯವಸ್ಥೆಗಳು, ಸ್ವಯಂಚಾಲಿತ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳು, ಬ್ಯಾಂಕ್‌ನಂತಹ ವಿವಿಧ ಕ್ರಿಯಾತ್ಮಕತೆ ಮತ್ತು ಸಂಕೀರ್ಣತೆಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಅನುಭವವನ್ನು ಆಧರಿಸಿದೆ. ಕ್ಲೈಂಟ್‌ಗಳು, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಡೇಟಾಬೇಸ್ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳು, ಇತ್ಯಾದಿ. ವಿಶ್ಲೇಷಣಾ ವಿಧಾನವು ಸಾಮಾನ್ಯವಾಗಿ ಅಂಗೀಕರಿಸಲ್ಪಟ್ಟ ಅಪ್ಲಿಕೇಶನ್ ಸಂಶೋಧನಾ ವಿಧಾನಗಳನ್ನು ಆಧರಿಸಿದೆ, ಉದಾಹರಣೆಗೆ PCI DSS ಅಗತ್ಯತೆಗಳು ಮತ್ತು ಭದ್ರತಾ ಮೌಲ್ಯಮಾಪನ ಕಾರ್ಯವಿಧಾನಗಳು, OWASP ಪರೀಕ್ಷಾ ಮಾರ್ಗದರ್ಶಿ, PA-DSS ಅಗತ್ಯತೆ ಮತ್ತು ಭದ್ರತಾ ಮೌಲ್ಯಮಾಪನ ಕಾರ್ಯವಿಧಾನಗಳು ಮತ್ತು DSecRG ಯ ಪ್ರಾಯೋಗಿಕ ಸಂಶೋಧನಾ ಅನುಭವವನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ಪರಿಷ್ಕರಿಸಲಾಗಿದೆ.

ಕೆಲಸದ ಹಂತಗಳು.

ಅಪ್ಲಿಕೇಶನ್ ವಿಶ್ಲೇಷಣೆ ಪ್ರಕ್ರಿಯೆಯು ಹಲವಾರು ಮೂಲಭೂತ ಹಂತಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:

- ಅಪ್ಲಿಕೇಶನ್‌ನ ಕ್ಲೈಂಟ್ ಭಾಗದ ವಾಸ್ತುಶಿಲ್ಪದ ವಿಶ್ಲೇಷಣೆ;

- ಬೆದರಿಕೆ ಮಾದರಿಯನ್ನು ರಚಿಸುವುದು;

- ಕೋಡ್ ಭದ್ರತಾ ಆಡಿಟ್;

- ಒತ್ತಡ ಪರೀಕ್ಷೆ (ಅಸ್ಪಷ್ಟಗೊಳಿಸುವಿಕೆ);

- ಅಪ್ಲಿಕೇಶನ್ ತರ್ಕಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಬೆದರಿಕೆಗಳ ಅನುಷ್ಠಾನ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ದುರ್ಬಲತೆಯ ತಜ್ಞರ ವಿಶ್ಲೇಷಣೆ.

ಜೆಟ್ ಇನ್ಫೋಸಿಸ್ಟಮ್ಸ್ ಕಂಪನಿಯು ಐಒಎಸ್, ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ವಿಂಡೋಸ್ ಫೋನ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ದೋಷಗಳ ಕುರಿತು ವಿಶ್ಲೇಷಣಾತ್ಮಕ ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಿದೆ. 98% ಕಾರ್ಯಕ್ರಮಗಳು ದುರ್ಬಲತೆಗಳನ್ನು ಹೊಂದಿವೆ ಮತ್ತು ಅವುಗಳಲ್ಲಿ 40% ನಿರ್ಣಾಯಕ ದೋಷಗಳನ್ನು ಹೊಂದಿವೆ ಎಂದು ಅಧ್ಯಯನದ ಫಲಿತಾಂಶಗಳು ತೋರಿಸಿವೆ.

58 ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸಮೀಕ್ಷೆಯ ಸಮಯದಲ್ಲಿ ಕಂಪನಿಯ ತಜ್ಞರು ಪಡೆದ ಡೇಟಾವನ್ನು ಆಧರಿಸಿ ವರದಿಯಾಗಿದೆ. ಉತ್ಪನ್ನದ ಮೂಲ ಕೋಡ್‌ನ ಸ್ಥಿರ ಮತ್ತು ಕ್ರಿಯಾತ್ಮಕ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸಲಾಯಿತು. Jet Infosystems ತಜ್ಞರು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಮತ್ತು WEB ಸೇವೆಯ ನಡುವಿನ ಇಂಟರ್ನೆಟ್‌ವರ್ಕ್ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವನ್ನು ಮತ್ತು ಸುರಕ್ಷಿತ ಸಂಪರ್ಕದ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ನಿರ್ಣಯಿಸಿದ್ದಾರೆ.

“ಸಮೀಕ್ಷೆಯ ಸಮಯದಲ್ಲಿ, ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಬಹಿರಂಗಗೊಳ್ಳುವ ಅತ್ಯಂತ ಒತ್ತುವ ದುರ್ಬಲತೆಗಳ ಮೇಲೆ ನಾವು ಗಮನಹರಿಸಿದ್ದೇವೆ. ಇವುಗಳಲ್ಲಿ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ಕ್ಲಾಸ್ ("ಮಧ್ಯದಲ್ಲಿ ಮನುಷ್ಯ") ದಾಳಿಗಳು ಮತ್ತು ಬ್ಯಾಂಕಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳ ಬಳಕೆದಾರರ ಗೌಪ್ಯ ಡೇಟಾವನ್ನು ವಿವಿಧ ರೀತಿಯಲ್ಲಿ ಕದಿಯಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅವಕಾಶ ನೀಡುವ ಹಲವಾರು ಅಂತರಗಳು ಸೇರಿವೆ ಎಂದು ಜಾರ್ಜಿ ಗಾರ್ಬುಜೋವ್ ವಿವರಿಸಿದರು. ಇನ್ಫೋಸಿಸ್ಟಮ್ಸ್ ಕಂಪನಿ ಜೆಟ್‌ನ ಮಾಹಿತಿ ಭದ್ರತಾ ಕೇಂದ್ರದ ಸಲಹಾ ವಿಭಾಗ."

ಪರೀಕ್ಷಿಸಿದ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಪ್ರತಿ ಐದನೇ (22%) ಅಸುರಕ್ಷಿತ ಮಾಹಿತಿ ವರ್ಗಾವಣೆ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಪ್ರತಿ ನಾಲ್ಕನೇ (25%) ಅಸುರಕ್ಷಿತ ವೆಬ್ ಸರ್ವರ್ ದೃಢೀಕರಣವನ್ನು ಬಳಸುತ್ತದೆ. 87% ಉತ್ಪನ್ನಗಳಲ್ಲಿ, ತಜ್ಞರು ಅಪ್ಲಿಕೇಶನ್ ಪ್ಯಾಕೇಜ್ ಮತ್ತು ಅದರ ಘಟಕಗಳ ಸಾಕಷ್ಟು ರಕ್ಷಣೆಯನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ ಮತ್ತು 78% ನಲ್ಲಿ, ಮೊಬೈಲ್ ಸಾಧನಕ್ಕೆ ಅನಧಿಕೃತ ಸವಲತ್ತು ಪ್ರವೇಶದ ಉಪಸ್ಥಿತಿಗಾಗಿ ತಪಾಸಣೆಗಳ ಕೊರತೆಯಿದೆ. ಅತ್ಯಂತ ನಿರ್ಣಾಯಕ "ರಂಧ್ರಗಳು" Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಕಂಡುಬಂದಿವೆ, iOS ಪರಿಸರದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಸಾಫ್ಟ್‌ವೇರ್ ಪರಿಹಾರಗಳಲ್ಲಿ ಕಡಿಮೆ.

ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳ (RBS) ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಸಾಂಪ್ರದಾಯಿಕ ವಾರ್ಷಿಕ ವರದಿಗಳಲ್ಲಿ ತಜ್ಞರು ಗಮನಿಸಿದ ಪ್ರವೃತ್ತಿಯನ್ನು ದೃಢೀಕರಿಸಲಾಗಿದೆ. ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ಗಳ ಡೆವಲಪರ್‌ಗಳು ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಗಮನ ನೀಡುವುದಿಲ್ಲ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಮಾರ್ಗಸೂಚಿಗಳನ್ನು ಅನುಸರಿಸುವುದಿಲ್ಲ. ಸುರಕ್ಷಿತ ಕೋಡ್ ಮತ್ತು ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ಪ್ರಕ್ರಿಯೆಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಕೊರತೆಯಿರುತ್ತವೆ. ಪರಿಗಣಿಸಲಾದ ಎಲ್ಲಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವೆ ರವಾನೆಯಾಗುವ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಅಥವಾ ಸಾಧನ ಮತ್ತು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ದುರ್ಬಲತೆಗಳನ್ನು ನೇರವಾಗಿ ಬಳಸಿಕೊಳ್ಳುವ ಕನಿಷ್ಠ ಒಂದು ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುತ್ತವೆ. ಹೀಗಾಗಿ, iOS ಗಾಗಿ 35% ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು ಮತ್ತು Android ಗಾಗಿ 15% ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು SSL ನ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆಗೆ ಸಂಬಂಧಿಸಿದ ದುರ್ಬಲತೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಅಂದರೆ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ಣಾಯಕ ಪಾವತಿ ಡೇಟಾವನ್ನು ತಡೆಹಿಡಿಯಬಹುದು. 22% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು SQL ಇಂಜೆಕ್ಷನ್‌ಗೆ ಗುರಿಯಾಗುತ್ತವೆ, ಕೆಲವು ಸರಳ ಪ್ರಶ್ನೆಗಳೊಂದಿಗೆ ಎಲ್ಲಾ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಕದಿಯುವ ಅಪಾಯವನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ. 70% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು 20% Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳು XSS ಗೆ ಸಂಭಾವ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುತ್ತವೆ - ಇದು ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ನ ಬಳಕೆದಾರರನ್ನು ತಪ್ಪುದಾರಿಗೆಳೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ದಾಳಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ಮತ್ತು ಉದಾಹರಣೆಗೆ, ಅವರ ದೃಢೀಕರಣ ಡೇಟಾವನ್ನು ಕದಿಯುತ್ತದೆ. 45% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು XXE ದಾಳಿಗಳಿಗೆ ಗುರಿಯಾಗುತ್ತವೆ, ಇದು ಜೈಲ್‌ಬ್ರೋಕನ್ ಆಗಿರುವ ಸಾಧನಗಳಿಗೆ ವಿಶೇಷವಾಗಿ ಅಪಾಯಕಾರಿಯಾಗಿದೆ, ರಷ್ಯಾದಲ್ಲಿ ತುಂಬಾ ಜನಪ್ರಿಯವಾಗಿದೆ. ಸುಮಾರು 22% Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅಂತರ್-ಪ್ರಕ್ರಿಯೆ ಸಂವಹನ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುತ್ತವೆ, ಇದರಿಂದಾಗಿ ಸೂಕ್ಷ್ಮ ಬ್ಯಾಂಕಿಂಗ್ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅನುಮತಿಸುತ್ತದೆ.

ರಕ್ಷಣೆ.

ಸಾಧನದ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಬಳಸುವುದು, ನಿರ್ಣಾಯಕ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುವುದು ಮತ್ತು ಅಗತ್ಯವಿದ್ದಲ್ಲಿ, ಡೇಟಾವನ್ನು ದೂರದಿಂದಲೇ ತೆರವುಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ, ಹಾಗೆಯೇ ವಿಮರ್ಶಾತ್ಮಕ ಡೇಟಾದ ಸಂಭವನೀಯ ಸೋರಿಕೆಗಳನ್ನು ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ತಪ್ಪಾದ ಬಳಕೆಯನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುವ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸುವುದು ಅವಶ್ಯಕ.

ದಾಳಿ.

ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ ದಾಳಿ ಮಾಡಲು, ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ತಂತ್ರಗಳನ್ನು ಅಥವಾ ಡ್ರೈವ್-ಬೈ-ಡೌನ್‌ಲೋಡ್ ದಾಳಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಸ್ಥಾಪಿಸಬೇಕಾಗುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ, ಆಕ್ರಮಣಕಾರರು ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಓಎಸ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆಗಾಗಿ ಶೋಷಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ತನ್ನ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಬಹುದು ಮತ್ತು ಸಂಪೂರ್ಣ ಪ್ರವೇಶ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸಾಧನಕ್ಕೆ ರಿಮೋಟ್ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು, ಇದು ಸಾಧನದ ಸಂಪೂರ್ಣ ರಾಜಿಗೆ ಕಾರಣವಾಗುತ್ತದೆ: ಆಕ್ರಮಣಕಾರ ನಿರ್ಣಾಯಕ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಕದಿಯಲು ಅಥವಾ ಪಾವತಿ ಡೇಟಾ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ರಕ್ಷಣೆ.

ಸಾಧನದಲ್ಲಿ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ನವೀಕರಿಸಲು ಇದು ಅವಶ್ಯಕವಾಗಿದೆ, ಬಳಸಿ ಸಾಫ್ಟ್ವೇರ್ರಕ್ಷಣೆ ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಬಳಕೆದಾರರ ಜಾಗೃತಿಯನ್ನು ಹೆಚ್ಚಿಸುವುದು.

ಸಂವಹನ ಚಾನಲ್ ಮೇಲೆ ದಾಳಿ.

ಕ್ಲಾಸಿಕ್ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯು ಕ್ಲೈಂಟ್ ಸಾಧನ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸುತ್ತದೆ. ಸಾರ್ವಜನಿಕ ವೈ-ಫೈ ನೆಟ್‌ವರ್ಕ್ ಅಥವಾ ನಕಲಿ ವೈರ್‌ಲೆಸ್ ಪ್ರವೇಶ ಬಿಂದುಗಳು ಮತ್ತು ನಕಲಿ ಬೇಸ್ ಸ್ಟೇಷನ್‌ಗಳಂತಹ ಬಲಿಪಶುವಿನ ಅದೇ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವುದು ಇದಕ್ಕೆ ಅಗತ್ಯವಿದೆ. ಪೂರ್ವಾಪೇಕ್ಷಿತಗಳು: ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ, ರವಾನೆಯಾದ ಡೇಟಾದ ತಪ್ಪಾದ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಥವಾ ಡೇಟಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ಸಂಪೂರ್ಣ ಕೊರತೆ. ಅತ್ಯಂತ ಸಾಮಾನ್ಯ ಉದಾಹರಣೆಯೆಂದರೆ SSL ನ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆ. ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಕದ್ದಾಲಿಕೆ ಮಾಡಬಹುದು ಮತ್ತು ವರ್ಗಾವಣೆಗೊಂಡ ಡೇಟಾವನ್ನು ಬದಲಾಯಿಸಬಹುದು, ಇದು ಅಂತಿಮವಾಗಿ ಕ್ಲೈಂಟ್‌ನ ಖಾತೆಯಿಂದ ಹಣದ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು.

ರಕ್ಷಣೆ.

SSL ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸರಿಯಾದ ಅನುಷ್ಠಾನ. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ, ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಿಸುವಾಗ, ನೀವು ಬ್ಯಾಂಕ್‌ನ SSL ಪ್ರಮಾಣಪತ್ರವನ್ನು ಮಾತ್ರ ನಂಬುವಂತೆ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಮೂಲ ಪ್ರಮಾಣಪತ್ರದ ಅಧಿಕಾರವು ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ ಇದು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಸಾಧನವನ್ನು (ಐಒಎಸ್) ಜೈಲ್‌ಬ್ರೇಕಿಂಗ್ ಮಾಡುವುದು ಅಥವಾ ಬಳಕೆದಾರರ ಸಾಧನದಲ್ಲಿ (ಆಂಡ್ರಾಯ್ಡ್) ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವುದು ಸಾಧನದ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವನ್ನು ಗಣನೀಯವಾಗಿ ಕಡಿಮೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಆಕ್ರಮಣಕಾರರಿಗೆ ದಾಳಿ ಮಾಡಲು ಸುಲಭವಾಗುತ್ತದೆ ಎಂದು ಗಮನಿಸಬೇಕಾದ ಅಂಶವಾಗಿದೆ.

ತೀರ್ಮಾನಗಳು:

ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳಿಗೆ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳು ನಿರ್ಣಾಯಕ ಬಳಕೆದಾರರ ಡೇಟಾ, ನಿಧಿಯ ಕಳ್ಳತನ ಮತ್ತು ಬ್ಯಾಂಕಿನ ಖ್ಯಾತಿಗೆ ಹಾನಿಯಾಗುವ ಅಪಾಯಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ಗಳ ಡೆವಲಪರ್‌ಗಳು ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಗಮನ ನೀಡುವುದಿಲ್ಲ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಮಾರ್ಗಸೂಚಿಗಳನ್ನು ಅನುಸರಿಸುವುದಿಲ್ಲ. ಡೆವಲಪರ್‌ಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಸುರಕ್ಷಿತ ಕೋಡ್ ಮತ್ತು ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ.

ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಪ್ರೋಗ್ರಾಮರ್ಗಳಿಗೆ ತಿಳಿಸಿ;
ವಾಸ್ತುಶಿಲ್ಪದಲ್ಲಿ ಭದ್ರತೆಯನ್ನು ನಿರ್ಮಿಸಿ;
ಕೋಡ್ ಆಡಿಟ್ಗಳನ್ನು ನಡೆಸುವುದು;
ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ ನಡೆಸುವುದು;
ಭದ್ರತೆ-ಸಂಬಂಧಿತ ಕಂಪೈಲರ್ ಆಯ್ಕೆಗಳನ್ನು ಜಾರಿಗೊಳಿಸಿ;
ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ನ ವಿತರಣೆಯನ್ನು ನಿಯಂತ್ರಿಸಿ;
ದೋಷಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಮುಚ್ಚಿ ಮತ್ತು ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿ.

ಮೇಲಿನವುಗಳು ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಹಣದ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗುವ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ನ್ಯೂನತೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ ಎಂದು ತೋರಿಸುತ್ತದೆ. ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವು ಸಾಂಪ್ರದಾಯಿಕ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವನ್ನು ಮೀರುವುದಿಲ್ಲ, ಆದರೆ ಅವುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು ಹೆಚ್ಚಿದ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು ಸೂಚಿಸುತ್ತವೆ.

ಮೊಬೈಲ್ ಸಾಧನಗಳಿಗೆ ಆಧುನಿಕ ರಕ್ಷಣಾ ಸಾಧನಗಳು - ಆಂಟಿವೈರಸ್ಗಳು, MDM ಪರಿಹಾರಗಳು, ಇತ್ಯಾದಿ. - ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಬಹುದು, ಆದರೆ ಸಮಸ್ಯೆಗಳ ಸಂಪೂರ್ಣ ಶ್ರೇಣಿಯನ್ನು ಪರಿಹರಿಸುವುದಿಲ್ಲ. ಸಿಸ್ಟಂ ವಿನ್ಯಾಸದ ಹಂತದಲ್ಲಿ ಭದ್ರತೆಯನ್ನು ಪರಿಚಯಿಸಬೇಕು ಮತ್ತು ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಅನುಷ್ಠಾನ ಹಂತ ಸೇರಿದಂತೆ ಕಾರ್ಯಕ್ರಮದ ಜೀವನ ಚಕ್ರದ ಎಲ್ಲಾ ಹಂತಗಳಲ್ಲಿಯೂ ಇರಬೇಕು. ಕೋಡ್ ಲೆಕ್ಕಪರಿಶೋಧನೆ, ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ನುಗ್ಗುವ ಪರೀಕ್ಷೆಯನ್ನು ಕೈಗೊಳ್ಳುವುದು ಅವಶ್ಯಕ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಬಳಸುವಾಗ ಅಪಾಯಗಳು ಅಪ್ಲಿಕೇಶನ್‌ನ ಭದ್ರತೆಗೆ ವಿಲೋಮ ಅನುಪಾತದಲ್ಲಿರುತ್ತವೆ. ಆದ್ದರಿಂದ, ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಸಮಗ್ರ ಲೆಕ್ಕಪರಿಶೋಧನೆ ಅಗತ್ಯ.

1. ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಪ್ರೋಗ್ರಾಮರ್‌ಗಳಿಗೆ ಶಿಕ್ಷಣ ನೀಡಿ.

2. ವಾಸ್ತುಶಿಲ್ಪದಲ್ಲಿ ಭದ್ರತೆಯನ್ನು ನಿರ್ಮಿಸಿ.

3. ಕೋಡ್ ಆಡಿಟ್ ಅನ್ನು ನಡೆಸುವುದು.

4. ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸುವುದು.

5. ಭದ್ರತೆ-ಸಂಬಂಧಿತ ಕಂಪೈಲರ್ ಆಯ್ಕೆಗಳನ್ನು ಜಾರಿಗೊಳಿಸಿ.

6. ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ನ ವಿತರಣೆಯನ್ನು ನಿಯಂತ್ರಿಸಿ.

7. ದೋಷಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಮುಚ್ಚಿ ಮತ್ತು ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿ.

ಸಾಹಿತ್ಯ

ಯಕುಶಿನ್ ಪೆಟ್ರ್. ಸುರಕ್ಷತೆ ಮೊಬೈಲ್ ಉದ್ಯಮ// ತೆರೆದ ವ್ಯವಸ್ಥೆಗಳು № 01, 2013.
ವಿಶ್ಲೇಷಣಾತ್ಮಕ ಕೇಂದ್ರ InfoWatch. ಜಾಗತಿಕ ಸೋರಿಕೆ ಅಧ್ಯಯನ ಕಾರ್ಪೊರೇಟ್ ಮಾಹಿತಿಮತ್ತು ಗೌಪ್ಯ ಡೇಟಾ, 2014.
ಶೆಟ್ಕೊ ನಿಕೋಲಾಯ್. ಬ್ರೇಕಿಂಗ್ ಸೆಲ್ಯುಲಾರ್ ಜಾಲಗಳು GSM: ಡಾಟಿಂಗ್ ದಿ i's // ET CETERA - ಚಂದಾದಾರಿಕೆ ಸಂಖ್ಯೆ 32, 2013 ರ ಮೂಲಕ ವಿತರಿಸಲಾದ ಡಿಜಿಟಲ್ ನಿಯತಕಾಲಿಕೆಗಳ ಸರಣಿ.
ಕೊರ್ಜೋವ್ ವಾಲೆರಿ. LTE ನಲ್ಲಿ ವೇಗ ಮತ್ತು ಭದ್ರತೆ // “ನೆಟ್‌ವರ್ಕ್‌ಗಳು/ನೆಟ್‌ವರ್ಕ್ ವರ್ಲ್ಡ್” ಸಂಖ್ಯೆ. 6, 2012.
802.11i-2004 – IEEE ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಫಾರ್ ಲೋಕಲ್ ಮತ್ತು ಮೆಟ್ರೋಪಾಲಿಟನ್ ಏರಿಯಾ ನೆಟ್‌ವರ್ಕ್‌ಗಳು – ನಿರ್ದಿಷ್ಟ ಅವಶ್ಯಕತೆಗಳು – ಭಾಗ 11: ವೈರ್‌ಲೆಸ್ LAN ಮಧ್ಯಮ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ (MAC) ಮತ್ತು ಫಿಸಿಕಲ್ ಲೇಯರ್ (PHY) ವಿಶೇಷಣಗಳು: ತಿದ್ದುಪಡಿ 6: ಮಧ್ಯಮ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ (MAC) 2004 ಭದ್ರತೆ ವರ್ಧನೆಗಳು,.
ಬೆಲೋರುಸೊವ್ ಡಿ.ಐ. ವೈ-ಫೈ - ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆಗೆ ಬೆದರಿಕೆಗಳು / ಡಿ.ಐ. ಬೆಲೋರುಸೊವ್, ಎಂ.ಎಸ್. ಕೊರೆಶ್ಕೋವ್ // ವಿಶೇಷ ತಂತ್ರಜ್ಞಾನ ಸಂಖ್ಯೆ 6, 2009; ಜೊತೆಗೆ. 2-6.
ಟ್ರಿಫೊನೊವ್ ಡಿಮಿಟ್ರಿ. ಕಾರ್ಪೊರೇಟ್ Wi-Fi ಅನ್ನು ಹೇಗೆ ಹ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ: ಹೊಸ ಅವಕಾಶಗಳು. [ಎಲೆಕ್ಟ್ರಿಕ್. res. ]// ಧನಾತ್ಮಕ ತಂತ್ರಜ್ಞಾನಗಳ ಸಂಶೋಧನಾ ಕೇಂದ್ರ. URL: http://www.securitylab.ru/analytics/471816.php.
ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತೆ. ವಿಶ್ಲೇಷಣಾತ್ಮಕ ವರದಿ IBM X-Force.[ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಸಂಪನ್ಮೂಲ]//ಶಾಶ್ವತ URL: http://www.ibm.com/software/products/ru/category/application-security.
ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ (ಕ್ಲೈಂಟ್ ಭಾಗ). ಡಿಜಿಟಲ್ ಭದ್ರತೆಯಿಂದ ವಿಶ್ಲೇಷಣಾತ್ಮಕ ವರದಿ.

[ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಸಂಪನ್ಮೂಲ]//ಶಾಶ್ವತ URL: http://www.dsec.ru/services/security-analysis/mobile-applications/.

10. 40% ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ನಿರ್ಣಾಯಕ ದೋಷಗಳನ್ನು ಹೊಂದಿವೆ. ಜೆಟ್ ಇನ್ಫೋಸಿಸ್ಟಮ್ಸ್ ಕಂಪನಿಯ ವಿಶ್ಲೇಷಣಾತ್ಮಕ ವರದಿ/ [ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಸಂಪನ್ಮೂಲ]// ಶಾಶ್ವತ URL: http://servernews.ru/910462

11. ಮಿನೊಜೆಂಕೊ ಅಲೆಕ್ಸಾಂಡರ್. ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಭದ್ರತೆ/ [ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಸಂಪನ್ಮೂಲ]// ಶಾಶ್ವತ URL:

ಡಿಜಿಟಲ್ ಭದ್ರತೆಯಲ್ಲಿ ಪ್ರಮುಖ ಮಾಹಿತಿ ಭದ್ರತಾ ಸಂಶೋಧಕ

ಪ್ರತಿಯೊಂದು ಮೊಬೈಲ್ ಓಎಸ್ ತನ್ನದೇ ಆದ ನಿಶ್ಚಿತಗಳನ್ನು ಹೊಂದಿದೆ; ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದರಲ್ಲೂ ನೀವು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಹೊಸ ಮತ್ತು ಪ್ರಸಿದ್ಧ ದೋಷಗಳನ್ನು ಕಾಣಬಹುದು.

ಅಧ್ಯಯನದ ಮುಖ್ಯ ಫಲಿತಾಂಶಗಳು

ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಸಾಂಪ್ರದಾಯಿಕ ವಾರ್ಷಿಕ ವರದಿಗಳಲ್ಲಿ ತಜ್ಞರು ಗಮನಿಸಿದ ಪ್ರವೃತ್ತಿಯನ್ನು ದೃಢಪಡಿಸಲಾಗಿದೆ. ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ಗಳ ಡೆವಲಪರ್‌ಗಳು ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಗಮನ ನೀಡುವುದಿಲ್ಲ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಮಾರ್ಗಸೂಚಿಗಳನ್ನು ಅನುಸರಿಸುವುದಿಲ್ಲ. ಸುರಕ್ಷಿತ ಕೋಡ್ ಮತ್ತು ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ಪ್ರಕ್ರಿಯೆಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಕೊರತೆಯಿರುತ್ತವೆ. ಪರಿಗಣಿಸಲಾದ ಎಲ್ಲಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವೆ ರವಾನೆಯಾಗುವ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಅಥವಾ ಸಾಧನ ಮತ್ತು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ದುರ್ಬಲತೆಗಳನ್ನು ನೇರವಾಗಿ ಬಳಸಿಕೊಳ್ಳುವ ಕನಿಷ್ಠ ಒಂದು ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುತ್ತವೆ.

ಹೀಗಾಗಿ, iOS ಗಾಗಿ 35% ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು ಮತ್ತು Android ಗಾಗಿ 15% ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು SSL ನ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆಗೆ ಸಂಬಂಧಿಸಿದ ದುರ್ಬಲತೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಅಂದರೆ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ಣಾಯಕ ಪಾವತಿ ಡೇಟಾವನ್ನು ತಡೆಹಿಡಿಯಬಹುದು. 22% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು SQL ಇಂಜೆಕ್ಷನ್‌ಗೆ ಗುರಿಯಾಗುತ್ತವೆ, ಕೆಲವು ಸರಳ ಪ್ರಶ್ನೆಗಳೊಂದಿಗೆ ಎಲ್ಲಾ ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಕದಿಯುವ ಅಪಾಯವನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ. 70% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು 20% Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳು XSS ಗೆ ಸಂಭಾವ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುತ್ತವೆ - ಇದು ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ನ ಬಳಕೆದಾರರನ್ನು ತಪ್ಪುದಾರಿಗೆಳೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ದಾಳಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ಮತ್ತು ಉದಾಹರಣೆಗೆ, ಅವರ ದೃಢೀಕರಣ ಡೇಟಾವನ್ನು ಕದಿಯುತ್ತದೆ. 45% iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು XXE ದಾಳಿಗಳಿಗೆ ಗುರಿಯಾಗುತ್ತವೆ, ಇದು ಜೈಲ್‌ಬ್ರೋಕನ್ ಆಗಿರುವ ಸಾಧನಗಳಿಗೆ ವಿಶೇಷವಾಗಿ ಅಪಾಯಕಾರಿಯಾಗಿದೆ, ರಷ್ಯಾದಲ್ಲಿ ತುಂಬಾ ಜನಪ್ರಿಯವಾಗಿದೆ. ಸುಮಾರು 22% Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅಂತರ್-ಪ್ರಕ್ರಿಯೆ ಸಂವಹನ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುತ್ತವೆ, ಸೂಕ್ಷ್ಮ ಬ್ಯಾಂಕಿಂಗ್ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅನುಮತಿಸುತ್ತದೆ.

ಮೊಬೈಲ್ ಪ್ರಪಂಚ

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಹೆಚ್ಚುತ್ತಿರುವ ಜನಪ್ರಿಯತೆಯನ್ನು ಗಮನಿಸಿದರೆ, ಅವುಗಳ ಸುರಕ್ಷತೆಯ ಬಗ್ಗೆ ಗಂಭೀರ ಕಾಳಜಿಗಳಿವೆ, ಏಕೆಂದರೆ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿನ ಅಂತರವು ನೂರಾರು ಡಜನ್ ಬಳಕೆದಾರರಿಗೆ ಹಣಕಾಸಿನ ನಷ್ಟಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು. ಡಿಜಿಟಲ್ ಸೆಕ್ಯುರಿಟಿ ತಂಡವು ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳಿಗಾಗಿ (ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ಐಒಎಸ್) ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಬ್ಯಾಂಕ್ ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಬೆದರಿಕೆಗಳು, ದುರ್ಬಲತೆಗಳು ಮತ್ತು ದಾಳಿ ವೆಕ್ಟರ್‌ಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಅಧ್ಯಯನವನ್ನು ನಡೆಸಿತು. ಬ್ಯಾಂಕುಗಳು ಸೇಂಟ್ ಪೀಟರ್ಸ್ಬರ್ಗ್, ಬಾಲ್ಟಿಕಾ, Bank24.ru, BFA, VTB ಸೇರಿದಂತೆ 30 ಕ್ಕೂ ಹೆಚ್ಚು ರಷ್ಯಾದ ಬ್ಯಾಂಕುಗಳ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡಲಾಗಿದೆ; VTB24, ಗಾಜ್‌ಪ್ರೊಂಬ್ಯಾಂಕ್. ಇನ್ವೆಸ್ಟ್ಬ್ಯಾಂಕ್, ಕ್ರೇಯಿನ್ವೆಸ್ಟ್-ಬ್ಯಾಂಕ್, ಕೆಎಸ್ ಬ್ಯಾಂಕ್, ಮಾಸ್ಟರ್-ಬ್ಯಾಂಕ್ MDM ಬ್ಯಾಂಕ್, ಮಾಸ್ಕೋ ಇಂಡಸ್ಟ್ರಿಯಲ್ ಬ್ಯಾಂಕ್, ಮಾಸ್ಕೋ ಕ್ರೆಡಿಟ್ ಬ್ಯಾಂಕ್ MTS-ಬ್ಯಾಂಕ್, NOMOS-ಬ್ಯಾಂಕ್; PrimSotsBank, Promsvyazbank, Rosbank, RosEvro-Bank, ರಷ್ಯನ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್. ಸ್ಬೆರ್ಬ್ಯಾಂಕ್, ಇತ್ಯಾದಿ.

ಜನಪ್ರಿಯ ಮೊಬೈಲ್ ಓಎಸ್

ಈ ನಿರ್ದಿಷ್ಟ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳನ್ನು ಏಕೆ ಅಧ್ಯಯನ ಮಾಡಲಾಗಿದೆ? ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ಐಒಎಸ್ ಓಎಸ್ ಇಂದು ಅತ್ಯಂತ ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ತಮ್ಮ ಸ್ಟೋರ್‌ಗಳಲ್ಲಿ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಹೊಂದಿವೆ (ಕ್ರಮವಾಗಿ ಗೂಗಲ್ ಪ್ಲೇ ಮತ್ತು ಆಪ್ ಸ್ಟೋರ್).

ವಿಂಡೋಸ್ ಫೋನ್ ಓಎಸ್ ಸಾಕಷ್ಟು ಚಿಕ್ಕದಾಗಿದೆ ಮತ್ತು ಬಳಕೆದಾರರಲ್ಲಿ ಇನ್ನೂ ವ್ಯಾಪಕವಾಗಿಲ್ಲ, ಆದರೆ ಇದು ಈಗಾಗಲೇ ಅದರ ಅಂಗಡಿಯಲ್ಲಿ (ವಿಂಡೋಸ್ ಸ್ಟೋರ್) ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಹೊಂದಿದೆ. ವಿಂಡೋಸ್ ಫೋನ್ OS ಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಈ ಸಮಯದಲ್ಲಿ ಅವುಗಳ ಸಣ್ಣ ಸಂಖ್ಯೆಯ ಕಾರಣದಿಂದಾಗಿ ಈ ಅಧ್ಯಯನದಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ (ಅವುಗಳಲ್ಲಿ ಕೇವಲ 9 ವಿಂಡೋಸ್ ಸ್ಟೋರ್‌ನಲ್ಲಿವೆ). ಆದರೆ ನೀಡಲಾಗಿದೆ ವಿಂಡೋಸ್ ಹೊರಹೊಮ್ಮುವಿಕೆಸಾಮಾನ್ಯ ವಿಂಡೋಸ್ 8 ಓಎಸ್ ಮತ್ತು ಮೊಬೈಲ್ ಓಎಸ್‌ಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಏಕಕಾಲಿಕ ಅಭಿವೃದ್ಧಿಯನ್ನು ಅನುಮತಿಸುವ (ಸುಲಭ ಪೋರ್ಟಿಂಗ್‌ಗೆ ಧನ್ಯವಾದಗಳು) ಹೊಸ ಅಭಿವೃದ್ಧಿ ಮಾದರಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಫೋನ್ 8, ವಿಂಡೋಸ್ ಫೋನ್ 8 ಗಾಗಿ ಅಭಿವೃದ್ಧಿಯ ಜನಪ್ರಿಯತೆಯ ಹೆಚ್ಚಳವನ್ನು ನಾವು ನಿರೀಕ್ಷಿಸಬಹುದು.

ಮೊಬೈಲ್ ಸಾಧನಗಳಿಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವರ್ಗೀಕರಣ

ಅಪ್ಲಿಕೇಶನ್ ಸ್ಥಳದ ಮೂಲಕ:

ಸಿಮ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - ಸಿಮ್ ಕಾರ್ಡ್‌ನಲ್ಲಿನ ಅಪ್ಲಿಕೇಶನ್, ಸಿಮ್ ಅಪ್ಲಿಕೇಶನ್ ಟೂಲ್‌ಕಿಟ್ (ಎಸ್‌ಟಿಕೆ) ಮಾನದಂಡಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಬರೆಯಲಾಗಿದೆ;
ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - ವೆಬ್‌ಸೈಟ್‌ನ ವಿಶೇಷ ಆವೃತ್ತಿ;
ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ವಿಶೇಷ API ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟ ಮೊಬೈಲ್ OS ಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ.

ಸರ್ವರ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಬಳಸುವ ತಂತ್ರಜ್ಞಾನದ ಪ್ರಕಾರ:

ನೆಟ್ವರ್ಕ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು - HTTP ಯಂತಹ TCP/IP ಮೂಲಕ ತಮ್ಮದೇ ಆದ ಸಂವಹನ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿ;
SMS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು SMS (ಸಂಕ್ಷಿಪ್ತ ಸಂದೇಶ ಸೇವೆ) ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ.
ಅಪ್ಲಿಕೇಶನ್ ಸಣ್ಣ ಪಠ್ಯ ಸಂದೇಶಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸರ್ವರ್‌ನೊಂದಿಗೆ ಮಾಹಿತಿಯನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುತ್ತದೆ;
USSD ಅಪ್ಲಿಕೇಶನ್‌ಗಳು USSD (ಅನ್‌ಸ್ಟ್ರಕ್ಚರ್ಡ್ ಸಪ್ಲಿಮೆಂಟರಿ ಸರ್ವಿಸ್ ಡೇಟಾ) ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ. ಸೇವೆಯು SMS ನಂತೆಯೇ ಕಿರು ಸಂದೇಶಗಳ ಪ್ರಸರಣವನ್ನು ಆಧರಿಸಿದೆ, ಆದರೆ ಹಲವಾರು ವ್ಯತ್ಯಾಸಗಳನ್ನು ಹೊಂದಿದೆ;
IVR ಅಪ್ಲಿಕೇಶನ್‌ಗಳು IVR (ಇಂಟರಾಕ್ಟಿವ್ ವಾಯ್ಸ್ ರೆಸ್ಪಾನ್ಸ್) ತಂತ್ರಜ್ಞಾನವನ್ನು ಆಧರಿಸಿದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ. ಈ ವ್ಯವಸ್ಥೆಯು ಮೊದಲೇ ರೆಕಾರ್ಡ್ ಮಾಡಿದ ಧ್ವನಿ ಸಂದೇಶಗಳು ಮತ್ತು ಟೋನ್ ಡಯಲಿಂಗ್ ಅನ್ನು ಆಧರಿಸಿದೆ.

ಇದು ವಿಶೇಷವಾದ API ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟ ಮೊಬೈಲ್ OS ಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಅನುಗುಣವಾದ ಬ್ಯಾಂಕಿಂಗ್ ಸೇವೆಯೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಅದು ಈಗ ಹೆಚ್ಚು ಸಾಮಾನ್ಯವಾಗಿದೆ, ಏಕೆಂದರೆ ಅವುಗಳು ಮೊಬೈಲ್ ಸಾಧನದ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಬಳಸುತ್ತವೆ ಮತ್ತು ಅತ್ಯಂತ ಸ್ನೇಹಪರ ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಹೊಂದಿವೆ. . ಈ ಅಧ್ಯಯನದಲ್ಲಿ ನಾವು ಅವುಗಳನ್ನು ಪರಿಗಣಿಸಿದ್ದೇವೆ.

ಅಪ್ಲಿಕೇಶನ್ ವಿಧಗಳು ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್‌ಗಾಗಿ

"ಖಾತೆ ಪ್ರವೇಶವಿಲ್ಲದೆ" ವರ್ಗವು ಸಹಾಯಕ ಕೆಲಸವನ್ನು ಮಾತ್ರ ನಿರ್ವಹಿಸುವ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಖಾತೆಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಈ ಕಾರ್ಯಗಳು ಸಹ ಇರಬಹುದು. ಸಾಮಾನ್ಯವಾಗಿ, ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಸರಳ ನ್ಯಾವಿಗೇಷನ್ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ಖಾತೆಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸಾಮರ್ಥ್ಯದೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ವಿಕಸನಗೊಳ್ಳುತ್ತದೆ. ಕೆಲವು ಬ್ಯಾಂಕುಗಳು, ಇದಕ್ಕೆ ವಿರುದ್ಧವಾಗಿ, ಹಲವಾರು ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಈ ಕಾರ್ಯಗಳನ್ನು ವಿತರಿಸಲು ಬಯಸುತ್ತವೆ, ಇದು ನಮ್ಮ ದೃಷ್ಟಿಕೋನದಿಂದ ಸರಿಯಾಗಿದೆ: ನಿರ್ಣಾಯಕ ಅಪ್ಲಿಕೇಶನ್ (ಪಾವತಿ ವಹಿವಾಟುಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು) ಅನಗತ್ಯ ಕಾರ್ಯವನ್ನು ಓವರ್‌ಲೋಡ್ ಮಾಡದಿದ್ದರೆ, ಲಭ್ಯವಿರುವ ದಾಳಿ ವೆಕ್ಟರ್‌ಗಳ ಸಂಖ್ಯೆ ಆಕ್ರಮಣಕಾರನನ್ನು ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ. ಈ ಅಧ್ಯಯನವು ಖಾತೆ ಪ್ರವೇಶ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಿದೆ.

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುವ ವಿಧಾನ

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ಸುರಕ್ಷತೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ, ಮೂರು ಮುಖ್ಯ ಘಟಕಗಳ ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ಣಯಿಸಲಾಗುತ್ತದೆ: ಸರ್ವರ್ ಭಾಗ, ಕ್ಲೈಂಟ್ ಭಾಗ ಮತ್ತು ಸಂವಹನ ಚಾನಲ್.

ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ಣಯಿಸುವ ವಿಧಾನಗಳು:

ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ:
- ಚಾಲನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಡೀಬಗ್ ಮಾಡುವುದು (ಎಮ್ಯುಲೇಟರ್ ಅಥವಾ ಸಾಧನದಲ್ಲಿ);
- ಫಝಿಂಗ್;
- ವಿಶ್ಲೇಷಣೆ ನೆಟ್ವರ್ಕ್ ಸಂಚಾರ;
- ಫೈಲ್ ಸಿಸ್ಟಮ್ನೊಂದಿಗಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ವಿಶ್ಲೇಷಣೆ;
- ಅಪ್ಲಿಕೇಶನ್ ಮೆಮೊರಿ ವಿಶ್ಲೇಷಣೆ.
ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆ: ಮೂಲ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆ (ಲಭ್ಯವಿದ್ದರೆ);
- ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್;
- ಡಿಸ್ಅಸೆಂಬಲ್;
- ಕೊಳೆಯುವಿಕೆ;
- ಕೋಡ್‌ನ ದುರ್ಬಲ ವಿಭಾಗಗಳಿಗೆ ಪರಿಣಾಮವಾಗಿ ಪ್ರಾತಿನಿಧ್ಯದ ವಿಶ್ಲೇಷಣೆ.

ಒಳನುಗ್ಗುವ ಮಾದರಿಗಳು

1. ಕ್ಲೈಂಟ್‌ನ ಸಾಧನಕ್ಕೆ ಭೌತಿಕ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರ. ಆದಾಗ್ಯೂ, ಸಾಧನವು ಸ್ಕ್ರೀನ್ ಲಾಕ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿಲ್ಲ ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸುವುದಿಲ್ಲ.

2. ಸಾಧನಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರದ ಆಕ್ರಮಣಕಾರರು ಬಲಿಪಶುವಿನ ಪಕ್ಕದಲ್ಲಿ ನೆಲೆಸಿದ್ದಾರೆ ಮತ್ತು ಮನುಷ್ಯ-ಮಧ್ಯದ ದಾಳಿಯನ್ನು ನಡೆಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ.

3. ಅಧಿಕೃತ ಅಪ್ಲಿಕೇಶನ್ ಸ್ಟೋರ್‌ಗಳು ಅಥವಾ ಇತರ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕ್ಲೈಂಟ್‌ನ ಸಾಧನಕ್ಕೆ ತನ್ನ ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಿದ ಆಕ್ರಮಣಕಾರ.

ಮೇಲೆ ದಾಳಿಗಳು ಸರ್ವರ್ ಭಾಗಮೇಲಿನ ದಾಳಿಯಿಂದ ಭಿನ್ನವಾಗಿಲ್ಲ ಸಾಂಪ್ರದಾಯಿಕ ವ್ಯವಸ್ಥೆಗಳು DBO.

ಮೇಲೆ ದಾಳಿಗಳು ಕ್ಲೈಂಟ್ ಭಾಗಲಭ್ಯವಿದ್ದರೆ ಸಾಧ್ಯ:

ಸಾಧನಕ್ಕೆ ಭೌತಿಕ ಪ್ರವೇಶ;
ಸಾಧನದಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್;
ಚಾನಲ್ ಅನ್ನು ನಿಯಂತ್ರಿಸುವ ಸಾಮರ್ಥ್ಯ, ಉದಾಹರಣೆಗೆ ಮನುಷ್ಯ-ಮಧ್ಯದ ದಾಳಿಯ ಪರಿಣಾಮವಾಗಿ.

ಭೌತಿಕ ಪ್ರವೇಶದೊಂದಿಗೆ, ಆಕ್ರಮಣಕಾರರು ಫೈಲ್ ಸಿಸ್ಟಮ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು. ಅಪ್ಲಿಕೇಶನ್ ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ದೃಢೀಕರಣ ಡೇಟಾ ಅಥವಾ ಇತರ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಿದರೆ ಅಥವಾ ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ನಿರ್ಣಾಯಕ ಡೇಟಾವನ್ನು ಸೋರಿಕೆ ಮಾಡಿದರೆ, ಆಕ್ರಮಣಕಾರರು ಈ ಡೇಟಾವನ್ನು ಪಡೆದುಕೊಳ್ಳಲು ಮತ್ತು ಹಣವನ್ನು ಕದಿಯಲು ಸುಲಭವಾಗುತ್ತದೆ.

ರಕ್ಷಣೆ:ಸಾಧನದ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಬಳಸಿ, ನಿರ್ಣಾಯಕ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿ ಮತ್ತು ಅಗತ್ಯವಿದ್ದಲ್ಲಿ, ದೂರದಿಂದಲೇ ಡೇಟಾವನ್ನು ತೆರವುಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ, ಹಾಗೆಯೇ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸುವುದು ನಿರ್ಣಾಯಕ ಡೇಟಾದ ಸಂಭವನೀಯ ಸೋರಿಕೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ತಪ್ಪಾದ ಬಳಕೆಯನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ ದಾಳಿ ಮಾಡಲು, ನೀವು ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ತಂತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅಥವಾ ಡ್ರೈವ್-ಬೈ-ಡೌನ್‌ಲೋಡ್ ದಾಳಿಯ ಮೂಲಕ ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗುತ್ತದೆ.

ರಕ್ಷಣೆ:ಸಾಧನದಲ್ಲಿ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನವೀಕರಿಸಿ, ಸಾಫ್ಟ್‌ವೇರ್ ಭದ್ರತಾ ಪರಿಕರಗಳನ್ನು ಬಳಸಿ ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಬಳಕೆದಾರರ ಅರಿವನ್ನು ಹೆಚ್ಚಿಸಿ.

ಸಂವಹನ ದಾಳಿಗಳು: ಕ್ಲಾಸಿಕ್ ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯು ಕ್ಲೈಂಟ್ ಸಾಧನ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸುತ್ತದೆ. ಸಾರ್ವಜನಿಕ ವೈ-ಫೈ ನೆಟ್‌ವರ್ಕ್ ಅಥವಾ ನಕಲಿ ವೈರ್‌ಲೆಸ್ ಪ್ರವೇಶ ಬಿಂದುಗಳು ಮತ್ತು ನಕಲಿ ಬೇಸ್ ಸ್ಟೇಷನ್‌ಗಳಂತಹ ಬಲಿಪಶುವಿನ ಅದೇ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವುದು ಇದಕ್ಕೆ ಅಗತ್ಯವಿದೆ. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆಯ ಅಗತ್ಯವಿದೆ: ರವಾನೆಯಾದ ಡೇಟಾದ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆ ಅಥವಾ ಡೇಟಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ನ ಸಂಪೂರ್ಣ ಕೊರತೆ. SSL ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸದಿರುವುದು ಸಾಮಾನ್ಯ ಉದಾಹರಣೆಯಾಗಿದೆ. ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಕದ್ದಾಲಿಕೆ ಮಾಡಬಹುದು ಮತ್ತು ವರ್ಗಾವಣೆಗೊಂಡ ಡೇಟಾವನ್ನು ಬದಲಾಯಿಸಬಹುದು, ಇದು ಅಂತಿಮವಾಗಿ ಕ್ಲೈಂಟ್‌ನ ಖಾತೆಯಿಂದ ಹಣದ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು.

ರಕ್ಷಣೆ: SSL ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸರಿಯಾದ ಅನುಷ್ಠಾನ. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ, ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಿಸುವಾಗ, ನೀವು ಬ್ಯಾಂಕ್‌ನ SSL ಪ್ರಮಾಣಪತ್ರವನ್ನು ಮಾತ್ರ ನಂಬುವಂತೆ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಮೂಲ ಪ್ರಮಾಣಪತ್ರದ ಅಧಿಕಾರವು ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ ಇದು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ತೀರ್ಮಾನಗಳು

ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳಿಗೆ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳು ನಿರ್ಣಾಯಕ ಬಳಕೆದಾರರ ಡೇಟಾ, ನಿಧಿಗಳ ಕಳ್ಳತನ ಮತ್ತು ಬ್ಯಾಂಕಿನ ಖ್ಯಾತಿಗೆ ಹಾನಿಯಾಗುವ ಅಪಾಯಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ. ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕ್ಲೈಂಟ್‌ಗಳ ಡೆವಲಪರ್‌ಗಳು ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಗಮನ ನೀಡುವುದಿಲ್ಲ ಮತ್ತು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿ ಮಾರ್ಗಸೂಚಿಗಳನ್ನು ಅನುಸರಿಸುವುದಿಲ್ಲ. ಡೆವಲಪರ್‌ಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಸುರಕ್ಷಿತ ಕೋಡ್ ಮತ್ತು ಆರ್ಕಿಟೆಕ್ಚರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ.

ಅಧ್ಯಯನದ ಪ್ರಾರಂಭದ ಮೊದಲು, ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಾಗಿ ನಿರ್ದಿಷ್ಟ ದೋಷಗಳ ಸಂಖ್ಯೆಯು ಸಾಮಾನ್ಯವಾಗಿ ತಿಳಿದಿರುವ ಸಂಖ್ಯೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಮೀರುತ್ತದೆ ಎಂದು ಊಹಿಸಲಾಗಿದೆ. ಆದರೆ ಪರಿಣಾಮವಾಗಿ, ನೀವು ಎರಡೂ ವರ್ಗಗಳ ಸರಿಸುಮಾರು ಒಂದೇ ಸಂಖ್ಯೆಯ ದುರ್ಬಲತೆಗಳನ್ನು ನೋಡಬಹುದು. ಇದರರ್ಥ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ನಿರ್ದಿಷ್ಟತೆಗಳ ಅರಿವಿಲ್ಲದೆಯೇ ಪ್ರಸಿದ್ಧ ದಾಳಿಗಳನ್ನು ನಡೆಸುವುದು ಸಾಧ್ಯ. ಪಡೆದ ಫಲಿತಾಂಶಗಳು OWASP ಟಾಪ್ 10 ಮೊಬೈಲ್ ಅಪಾಯಗಳೊಂದಿಗೆ ಅತಿಕ್ರಮಿಸುತ್ತವೆ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಬಳಸುವಾಗ ಅಪಾಯಗಳು ಅಪ್ಲಿಕೇಶನ್‌ನ ಭದ್ರತೆಗೆ ವಿಲೋಮ ಅನುಪಾತದಲ್ಲಿರುತ್ತವೆ. ಆದ್ದರಿಂದ, ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಸಮಗ್ರ ಲೆಕ್ಕಪರಿಶೋಧನೆ ಅಗತ್ಯ. ಬ್ಯಾಂಕ್ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಇಂಟರ್ನೆಟ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಗಿಂತ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಗೆ ಕಡಿಮೆ ಗಮನ ಹರಿಸಬಾರದು.

ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಪ್ರೋಗ್ರಾಮರ್‌ಗಳಿಗೆ ಶಿಕ್ಷಣ ನೀಡಿ.
ವಾಸ್ತುಶಿಲ್ಪದಲ್ಲಿ ಭದ್ರತೆಯನ್ನು ನಿರ್ಮಿಸಿ.
ಕೋಡ್ ಲೆಕ್ಕಪರಿಶೋಧನೆಗಳನ್ನು ನಡೆಸುವುದು.
ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ ನಡೆಸುವುದು.
ಭದ್ರತೆ-ಸಂಬಂಧಿತ ಕಂಪೈಲರ್ ಆಯ್ಕೆಗಳನ್ನು ಜಾರಿಗೊಳಿಸಿ.
ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ನ ವಿತರಣೆಯನ್ನು ನಿಯಂತ್ರಿಸಿ.
ದೋಷಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಮುಚ್ಚಿ ಮತ್ತು ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿ.

ಕಳೆದ ವರ್ಷ ಸಂಶೋಧನಾ ಕೇಂದ್ರ ಡಿಜಿಟಲ್ ಭದ್ರತೆವರದಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ “ಬ್ಯಾಂಕ್ ಗ್ರಾಹಕರ ಭದ್ರತೆಯ ಅಧ್ಯಯನದ ಫಲಿತಾಂಶಗಳು ರಷ್ಯಾದ ತಯಾರಕರು 2009-2011 ರ ಅವಧಿಗೆ”, ಅಲ್ಲಿ ನಾವು ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವಲ್ಲಿ ನಮ್ಮ ಅನುಭವವನ್ನು ಹಂಚಿಕೊಂಡಿದ್ದೇವೆ ಮತ್ತು ಅವರ ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ಣಯಿಸುವ ನಿರಾಶಾದಾಯಕ ಫಲಿತಾಂಶಗಳನ್ನು ಹಂಚಿಕೊಂಡಿದ್ದೇವೆ.

ನಾವು ಇನ್ನೂ ನಿಲ್ಲುವುದಿಲ್ಲ ಮತ್ತು ನಾಳೆ ಏನು ಬೇಡಿಕೆಯಿದೆಯೋ ಅದನ್ನು ಇಂದು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತೇವೆ. ಈ ಅಧ್ಯಯನವು ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳಿಗಾಗಿ (ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ಐಒಎಸ್) ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಬ್ಯಾಂಕ್ ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಬೆದರಿಕೆಗಳು, ದುರ್ಬಲತೆಗಳು ಮತ್ತು ದಾಳಿ ವೆಕ್ಟರ್‌ಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ.

ಮೊಬೈಲ್ ತಂತ್ರಜ್ಞಾನಗಳು ಸಕ್ರಿಯವಾಗಿ ಅಭಿವೃದ್ಧಿ ಹೊಂದುತ್ತಿವೆ, ಆಧುನಿಕ ವ್ಯಾಪಾರದ ಅವಶ್ಯಕತೆಗಳು ಮಾಹಿತಿಯನ್ನು ತ್ವರಿತವಾಗಿ, ವಿಶ್ವಾಸಾರ್ಹವಾಗಿ ಮತ್ತು ಜಗತ್ತಿನ ಎಲ್ಲಿಂದಲಾದರೂ ಪ್ರವೇಶಿಸಬೇಕು. ಪಾವತಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಇದಕ್ಕೆ ಹೊರತಾಗಿಲ್ಲ ಮತ್ತು ಅವು ಕ್ರಮೇಣ ನಮ್ಮ ಮೊಬೈಲ್ ಸಾಧನಗಳಲ್ಲಿ (ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳು, ಟ್ಯಾಬ್ಲೆಟ್‌ಗಳು, ಇತ್ಯಾದಿ) ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ. ಮೊಬೈಲ್ ಸಾಧನಗಳನ್ನು ಇನ್ನೂ ಸಾಕಷ್ಟು ಅಧ್ಯಯನ ಮಾಡಲಾಗಿಲ್ಲ, ಮತ್ತು ಪ್ರತಿ ಮೊಬೈಲ್ ಓಎಸ್ (ಆಂಡ್ರಾಯ್ಡ್, ಐಒಎಸ್, ವಿಂಡೋಸ್ ಫೋನ್, ಸಿಂಬಿಯಾನ್, ಬ್ಲ್ಯಾಕ್‌ಬೆರಿ, ಇತ್ಯಾದಿ) ತನ್ನದೇ ಆದ ನಿಶ್ಚಿತಗಳನ್ನು ಹೊಂದಿದೆ, ಆದ್ದರಿಂದ ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದರಲ್ಲೂ ನೀವು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಹೊಸ ಮತ್ತು ಉತ್ತಮ-ಎರಡನ್ನೂ ಕಾಣಬಹುದು. ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳು.

ಇಂತಹ ಬ್ಯಾಂಕ್‌ಗಳಿಗೆ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು:

ಆಲ್ಫಾ ಬ್ಯಾಂಕ್,

ಬ್ಯಾಂಕ್ "ಸೇಂಟ್ ಪೀಟರ್ಸ್ಬರ್ಗ್" ಬ್ಯಾಂಕ್ "ಬಾಲ್ಟಿಕಾ", Bank24.ru,

BFA ಬ್ಯಾಂಕ್,

VTB, VTB 24, Gazprombank, Investbank, Kraiinvestbank,

ಮಾಸ್ಟರ್ ಬ್ಯಾಂಕ್,

MDM ಬ್ಯಾಂಕ್,

ಮಾಸ್ಕೋ ಇಂಡಸ್ಟ್ರಿಯಲ್ ಬ್ಯಾಂಕ್,

ಮಾಸ್ಕೋ ಕ್ರೆಡಿಟ್ ಬ್ಯಾಂಕ್, ಮೊರ್ಡೋವ್ಪ್ರೊಮ್ಸ್ಟ್ರಾಯ್ಬ್ಯಾಂಕ್,

MTS-ಬ್ಯಾಂಕ್,

ಜನರ ಶ್ರೇಯಸ್ಸು

NOMOS-ಬ್ಯಾಂಕ್,

ಪರ್ವೋಬ್ಯಾಂಕ್,

ಪ್ರಿಮ್ಸಾಟ್ಸ್ ಬ್ಯಾಂಕ್,

ಪ್ರಾಮ್ಸ್ವ್ಯಾಜ್ಬ್ಯಾಂಕ್,

ರೋಸ್‌ಇವ್ರೋಬ್ಯಾಂಕ್,

ರೋಸ್‌ಇಂಟರ್‌ಬ್ಯಾಂಕ್,

ರಷ್ಯಾದ ಮಾನದಂಡ,

ಸ್ಬೆರ್ಬ್ಯಾಂಕ್,

ಸ್ವ್ಯಾಜ್-ಬ್ಯಾಂಕ್,

ಸ್ಮೋಲೆನ್ಸ್ಕಿ ಬ್ಯಾಂಕ್,

ಟಿಂಕಾಫ್ ಕ್ರೆಡಿಟ್ ಸಿಸ್ಟಮ್ಸ್, UBRD,

ಲೈಫ್ ಫೈನಾನ್ಶಿಯಲ್ ಗ್ರೂಪ್,

ಖಾಂಟಿ-ಮಾನ್ಸಿಸ್ಕ್ ಬ್ಯಾಂಕ್, ಯುನಿಕ್ರೆಡಿಟ್ ಬ್ಯಾಂಕ್

ಮತ್ತು ಇತರರು.

iOS ಗಾಗಿ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು

ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು ಮಾತ್ರ ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತವೆ. ಪರಿಶೀಲಿಸಲಾದ ಎಲ್ಲಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಕನಿಷ್ಠ ಒಂದು ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುತ್ತವೆ.

ಹೆಚ್ಚಿನ iOS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮೆಮೊರಿಯ ತಪ್ಪಾದ ನಿರ್ವಹಣೆಗೆ ಸಂಬಂಧಿಸಿದ ದೋಷಗಳ ಶೋಷಣೆಯಿಂದ ರಕ್ಷಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಸಂಕಲನ ಆಯ್ಕೆಗಳನ್ನು ಬಳಸುವುದಿಲ್ಲ.

Android ಗಾಗಿ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು

ಪಡೆದ ಫಲಿತಾಂಶಗಳ ಆಧಾರದ ಮೇಲೆ, ನಾವು ಐಒಎಸ್ ಮತ್ತು ಆಂಡ್ರಾಯ್ಡ್‌ಗಾಗಿ ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ಬೆದರಿಕೆಗಳೊಂದಿಗೆ ಟಾಪ್ 10 ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳನ್ನು ಸಂಗ್ರಹಿಸಿದ್ದೇವೆ. ರೇಟಿಂಗ್ ಅನ್ನು ಕಂಪೈಲ್ ಮಾಡುವಾಗ, ರಕ್ಷಣಾತ್ಮಕ ಕಾರ್ಯವಿಧಾನ ಅಥವಾ ನಿರ್ದಿಷ್ಟ ವರ್ಗದ ಅಸುರಕ್ಷಿತ API ಅನುಪಸ್ಥಿತಿಯಲ್ಲಿ ಪ್ರೋಗ್ರಾಂಗೆ 1 ಪಾಯಿಂಟ್ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ವಿರುದ್ಧ ಪ್ರಕರಣದಲ್ಲಿ 1 ಪಾಯಿಂಟ್ ಅನ್ನು ಕಡಿತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಎರಡೂ ರೇಟಿಂಗ್‌ಗಳಲ್ಲಿ 4 ಬ್ಯಾಂಕ್‌ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿ.

iOS ಗಾಗಿ ಟಾಪ್ 10

Android ಗಾಗಿ ಟಾಪ್ 10

ಮಾಸ್ಟರ್ ಬ್ಯಾಂಕ್

ಬ್ಯಾಂಕ್ "ಸೇಂಟ್ ಪೀಟರ್ಸ್ಬರ್ಗ್"

ಲೈಫ್ ಫೈನಾನ್ಶಿಯಲ್ ಗ್ರೂಪ್

RosEvroBank

ಮಾಸ್ಕೋದ ಕ್ರೆಡಿಟ್ ಬ್ಯಾಂಕ್

ಬ್ಯಾಂಕ್ "ಜನರ ಕ್ರೆಡಿಟ್"

ಪ್ರಿಮ್ಸಾಟ್ಸ್ಬ್ಯಾಂಕ್

ಸ್ಬೆರ್ಬ್ಯಾಂಕ್

ರಷ್ಯನ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಬ್ಯಾಂಕ್"

ಬ್ಯಾಂಕ್ "ಸೇಂಟ್ ಪೀಟರ್ಸ್ಬರ್ಗ್"

ಹೂಡಿಕೆ ಬ್ಯಾಂಕ್

ಓಎಸ್ ಆಂಡ್ರಾಯ್ಡ್ ಮತ್ತು ಐಒಎಸ್ ಇಂದು ಅತ್ಯಂತ ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ತಮ್ಮ ಸ್ಟೋರ್‌ಗಳಲ್ಲಿ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಹೊಂದಿವೆ (ಕ್ರಮವಾಗಿ ಗೂಗಲ್ ಪ್ಲೇ ಮತ್ತು ಆಪ್ ಸ್ಟೋರ್).

ವಿಂಡೋಸ್ ಫೋನ್ ಓಎಸ್ ಸಾಕಷ್ಟು ಚಿಕ್ಕದಾಗಿದೆ ಮತ್ತು ಬಳಕೆದಾರರಲ್ಲಿ ಇನ್ನೂ ವ್ಯಾಪಕವಾಗಿಲ್ಲ, ಆದರೆ ಇದು ಈಗಾಗಲೇ ಅದರ ಅಂಗಡಿಯಲ್ಲಿ (ವಿಂಡೋಸ್ ಸ್ಟೋರ್) ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಹೊಂದಿದೆ. ವಿಂಡೋಸ್ ಫೋನ್ ಓಎಸ್‌ಗಾಗಿ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಈ ಸಮಯದಲ್ಲಿ ಅವುಗಳ ಸಣ್ಣ ಸಂಖ್ಯೆಯ ಕಾರಣದಿಂದಾಗಿ ಈ ಅಧ್ಯಯನದಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ (ಅವುಗಳಲ್ಲಿ ಕೇವಲ 9 ವಿಂಡೋಸ್ ಸ್ಟೋರ್‌ನಲ್ಲಿವೆ). ಆದರೆ ಸಾಮಾನ್ಯ ವಿಂಡೋಸ್ 8 ಓಎಸ್ ಮತ್ತು ಮೊಬೈಲ್ ಓಎಸ್‌ಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಏಕಕಾಲಿಕ ಅಭಿವೃದ್ಧಿಯನ್ನು ಅನುಮತಿಸುವ (ಸುಲಭ ಪೋರ್ಟಿಂಗ್‌ಗೆ ಧನ್ಯವಾದಗಳು) ಹೊಸ ಅಭಿವೃದ್ಧಿ ಮಾದರಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ವಿಂಡೋಸ್ ಫೋನ್ 8 ರ ಆಗಮನವನ್ನು ಗಮನಿಸಿದರೆ, ಅಭಿವೃದ್ಧಿಯ ಜನಪ್ರಿಯತೆಯ ಹೆಚ್ಚಳವನ್ನು ನಾವು ನಿರೀಕ್ಷಿಸಬಹುದು. ವಿಂಡೋಸ್ ಫೋನ್ 8.

ಅಪ್ಲಿಕೇಶನ್ ಸ್ಥಳದ ಮೂಲಕ:

ಸಿಮ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - ಸಿಮ್ ಕಾರ್ಡ್‌ನಲ್ಲಿನ ಅಪ್ಲಿಕೇಶನ್, ಸಿಮ್ ಅಪ್ಲಿಕೇಶನ್ ಟೂಲ್‌ಕಿಟ್ (ಎಸ್‌ಟಿಕೆ) ಮಾನದಂಡಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಬರೆಯಲಾಗಿದೆ;

ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - ವೆಬ್‌ಸೈಟ್‌ನ ವಿಶೇಷ ಆವೃತ್ತಿ;

ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ವಿಶೇಷ API ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟ ಮೊಬೈಲ್ OS ಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್ ಆಗಿದೆ.

ಸರ್ವರ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಬಳಸುವ ತಂತ್ರಜ್ಞಾನದ ಪ್ರಕಾರ:

ನೆಟ್‌ವರ್ಕ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - HTTP ಯಂತಹ TCP/IP ಮೂಲಕ ತಮ್ಮದೇ ಆದ ಸಂವಹನ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿ;

SMS ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - SMS (ಸಂಕ್ಷಿಪ್ತ ಸಂದೇಶ ಸೇವೆ) ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್. ಅಪ್ಲಿಕೇಶನ್ ಸಣ್ಣ ಪಠ್ಯ ಸಂದೇಶಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸರ್ವರ್‌ನೊಂದಿಗೆ ಮಾಹಿತಿಯನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುತ್ತದೆ;

USSD ಅಪ್ಲಿಕೇಶನ್‌ಗಳು - USSD ಆಧಾರಿತ ಅಪ್ಲಿಕೇಶನ್ (ಅನ್‌ಸ್ಟ್ರಕ್ಚರ್ಡ್ ಸಪ್ಲಿಮೆಂಟರಿ ಸರ್ವಿಸ್ ಡೇಟಾ). ಸೇವೆಯು SMS ನಂತೆಯೇ ಕಿರು ಸಂದೇಶಗಳ ಪ್ರಸರಣವನ್ನು ಆಧರಿಸಿದೆ, ಆದರೆ ಹಲವಾರು ವ್ಯತ್ಯಾಸಗಳನ್ನು ಹೊಂದಿದೆ;

IVR ಅಪ್ಲಿಕೇಶನ್‌ಗಳು IVR (ಇಂಟರಾಕ್ಟಿವ್ ವಾಯ್ಸ್ ರೆಸ್ಪಾನ್ಸ್) ತಂತ್ರಜ್ಞಾನವನ್ನು ಆಧರಿಸಿದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿವೆ. ಈ ವ್ಯವಸ್ಥೆಯು ಮೊದಲೇ ರೆಕಾರ್ಡ್ ಮಾಡಿದ ಧ್ವನಿ ಸಂದೇಶಗಳು ಮತ್ತು ಟೋನ್ ಡಯಲಿಂಗ್ ಅನ್ನು ಆಧರಿಸಿದೆ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವಿಧಗಳು

ಈ ಅಧ್ಯಯನವು ಖಾತೆ ಪ್ರವೇಶ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಿದೆ.

ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ಣಯಿಸುವ ವಿಧಾನಗಳು:

1. ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ:

· ಚಾಲನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಡೀಬಗ್ ಮಾಡುವುದು (ಎಮ್ಯುಲೇಟರ್ ಅಥವಾ ಸಾಧನದಲ್ಲಿ);

ಫಝಿಂಗ್;
ನೆಟ್ವರ್ಕ್ ಸಂಚಾರ ವಿಶ್ಲೇಷಣೆ;

· ಫೈಲ್ ಸಿಸ್ಟಮ್ನೊಂದಿಗಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ವಿಶ್ಲೇಷಣೆ;

ಅಪ್ಲಿಕೇಶನ್ ಮೆಮೊರಿ ವಿಶ್ಲೇಷಣೆ.

2. ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆ:

· ಮೂಲ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆ (ಲಭ್ಯವಿದ್ದರೆ); ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್:

ಒ ಡಿಸ್ಅಸೆಂಬಲ್;

ಒ ಡಿಕಂಪೈಲೇಶನ್;

· ಕೋಡ್‌ನ ದುರ್ಬಲ ವಿಭಾಗಗಳಿಗೆ ಸ್ವೀಕರಿಸಿದ ಪ್ರಾತಿನಿಧ್ಯದ ವಿಶ್ಲೇಷಣೆ.

ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ ದಾಳಿಗಳುವರದಿಯಲ್ಲಿ ಚರ್ಚಿಸಲಾದ ಸಾಂಪ್ರದಾಯಿಕ ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲಿನ ದಾಳಿಯಿಂದ ಭಿನ್ನವಾಗಿಲ್ಲ ಡಿಜಿಟಲ್ ಭದ್ರತೆ"2009-2011 ರ ಅವಧಿಗೆ ರಷ್ಯಾದ ತಯಾರಕರ ಬ್ಯಾಂಕ್ ಗ್ರಾಹಕರ ಸುರಕ್ಷತೆಯ ಅಧ್ಯಯನದ ಫಲಿತಾಂಶಗಳು."

iOS ಮೊಬೈಲ್ ಆಗಿದೆ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ Apple ನಿಂದ. ಈ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ Apple ನಿಂದ ಸಾಧನಗಳಿಗೆ ಮಾತ್ರ ಉದ್ದೇಶಿಸಲಾಗಿದೆ: iPod, iPhone, iPad ಮತ್ತು Apple TV. ಐಒಎಸ್ ಮ್ಯಾಕ್ ಓಎಸ್ ಎಕ್ಸ್ ಅನ್ನು ಆಧರಿಸಿದೆ. ಈ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಾಗಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ವಿತರಿಸಲು, ವಿಶೇಷ ಸ್ಟೋರ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ - ಆಪ್ ಸ್ಟೋರ್.

ಅಭಿವೃದ್ಧಿಗಾಗಿ, ಆಬ್ಜೆಕ್ಟಿವ್-ಸಿ ಭಾಷೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಸಂಕಲಿಸಿದ ವಸ್ತು-ಆಧಾರಿತ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಭಾಷೆಯಾಗಿದೆ. ಆಬ್ಜೆಕ್ಟಿವ್-ಸಿ ಅನ್ನು ಸಿ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಭಾಷೆ ಮತ್ತು ಸ್ಮಾಲ್‌ಟಾಕ್ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಭಾಷಾ ಮಾದರಿಗಳ ಮೇಲೆ ನಿರ್ಮಿಸಲಾಗಿದೆ.

iOS ಗಾಗಿ ಖಾತೆ ಪ್ರವೇಶದೊಂದಿಗೆ ರಷ್ಯಾದ ಬ್ಯಾಂಕುಗಳಿಗೆ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್ ಡೆವಲಪರ್‌ಗಳ ಅಂಕಿಅಂಶಗಳು

iOS ಗಾಗಿ ಬ್ಯಾಂಕಿಂಗ್ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಗೋಚರಿಸುವಿಕೆಯ ವೇಳಾಪಟ್ಟಿ

ಈ ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ, ನವೀಕರಣಗಳ ಆವರ್ತನ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆ ಎರಡರ ಬಗ್ಗೆ ತೀರ್ಮಾನಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು. ಹೀಗಾಗಿ, SDK 4.3 TLS 1.0 ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, ಇದು 29 ರೀತಿಯ ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಅವುಗಳಲ್ಲಿ 5 ದುರ್ಬಲವಾಗಿವೆ. SDK ಯ ಈ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಸಂಭಾವ್ಯವಾಗಿ ರಾಜಿಯಾಗಬಹುದು.

ಈ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಪ್ರಕಾರಗಳನ್ನು SDK ನ ನಂತರದ ಆವೃತ್ತಿಗಳಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ.

PIE ಸಂಕಲನ ಆಯ್ಕೆ

PIE (ಪೊಸಿಷನ್ ಇಂಡಿಪೆಂಡೆಂಟ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್) ಎನ್ನುವುದು ಸಂಕಲನ ನಿಯತಾಂಕದಿಂದ ಹೊಂದಿಸಲಾದ ವಿಶೇಷ ಕಾರ್ಯವಿಧಾನವಾಗಿದೆ ಮತ್ತು ಮೆಮೊರಿಯೊಂದಿಗೆ ತಪ್ಪಾದ ಕೆಲಸಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳ ವರ್ಗಕ್ಕೆ ಸೇರಿದೆ. ASLR (ವಿಳಾಸ ಸ್ಪೇಸ್ ಲೇಔಟ್ ರ್ಯಾಂಡಮೈಸೇಶನ್) ನ ಸಂಪೂರ್ಣ ಪ್ರಯೋಜನವನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ARC (ಸ್ವಯಂಚಾಲಿತ ಉಲ್ಲೇಖ ಎಣಿಕೆ) ಒಂದು ವಿಶೇಷ ಕಾರ್ಯವಿಧಾನವಾಗಿದ್ದು, ಸಂಕಲನ ಆಯ್ಕೆಯಿಂದ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಇದನ್ನು ಪರೋಕ್ಷವಾಗಿ ಭದ್ರತಾ ನಿಯತಾಂಕವಾಗಿ ವರ್ಗೀಕರಿಸಬಹುದು. ಮೆಮೊರಿ ನಿರ್ವಹಣೆಯ ಕೆಲಸವನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಮೆಮೊರಿ ಸೋರಿಕೆಗಳು ಮತ್ತು ಪಾಯಿಂಟರ್‌ಗಳ ತಪ್ಪಾದ ನಿರ್ವಹಣೆಗೆ ಸಂಬಂಧಿಸಿದ ದೋಷಗಳನ್ನು ತಪ್ಪಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಇದು ಬಳಕೆಯ ನಂತರ-ಮುಕ್ತ ಮತ್ತು ಡಬಲ್ ಉಚಿತ ದುರ್ಬಲತೆಗಳಿಗೆ ಕಾರಣವಾಗುತ್ತದೆ.

ತಪ್ಪಾದ ಕೆಲಸ SSL ಜೊತೆಗೆ

SSL ಸಂಪರ್ಕದೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಹಲವಾರು ಕಾರ್ಯಗಳಿವೆ, ಅದರ ಬಳಕೆಯು ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ. ಅಪ್ಲಿಕೇಶನ್ ಪರೀಕ್ಷೆಯ ಸಮಯದಲ್ಲಿ ಡೆವಲಪರ್‌ಗಳು ಅವುಗಳನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಆಪ್ ಸ್ಟೋರ್‌ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಪ್ರಕಟಿಸುವ ಮೊದಲು ಅನುಗುಣವಾದ ಕೋಡ್ ಅನ್ನು ತೆಗೆದುಹಾಕಲು ಸಾಮಾನ್ಯವಾಗಿ ಮರೆತುಬಿಡುತ್ತಾರೆ. ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರನು ಮಧ್ಯದಲ್ಲಿ ಆಕ್ರಮಣವನ್ನು ನಡೆಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ, ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಡೇಟಾವನ್ನು ಕದ್ದಾಲಿಕೆ ಮಾಡುತ್ತಾನೆ ಮತ್ತು ತನ್ನದೇ ಉದ್ದೇಶಗಳಿಗಾಗಿ ಅದನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸುತ್ತಾನೆ. ಉದಾಹರಣೆಗೆ, ಅವರು ಪಾವತಿ ಅಥವಾ ವರ್ಗಾವಣೆ ಡೇಟಾವನ್ನು ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಐಒಎಸ್‌ನಲ್ಲಿನ ಕೀಚೈನ್ ವಿಶೇಷ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂಗ್ರಹಣೆಯಾಗಿದ್ದು, ನಿರ್ಣಾಯಕ ಅಪ್ಲಿಕೇಶನ್ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.

ಕೀಚೈನ್‌ನ ಅನುಪಸ್ಥಿತಿಯು ಅಪ್ಲಿಕೇಶನ್ ತನ್ನ ಡೇಟಾವನ್ನು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ ಎಂದು ಅರ್ಥವಲ್ಲ. ಅಪ್ಲಿಕೇಶನ್ ಕ್ಲೈಂಟ್ ಸಾಧನದಲ್ಲಿ ನಿರ್ಣಾಯಕ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸದಿರಬಹುದು ಅಥವಾ ಪ್ರಮಾಣಿತ ಅಥವಾ ಕಸ್ಟಮ್ ಬಳಸಿ ಅದರ ಸ್ಥಳೀಯ ಫೈಲ್‌ಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸುವುದಿಲ್ಲ ಸ್ಥಳೀಯ ಕಾರ್ಯಗಳುಗೂಢಲಿಪೀಕರಣ.

ಸಾಧನವನ್ನು ಜೈಲ್ ಬ್ರೇಕ್ ಮಾಡಿದ ನಂತರ, ಕೀಚೈನ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ಓದಬಹುದು. ಸ್ಥಳೀಯ ಫೈಲ್ ಅನ್ನು ನಿರ್ಣಾಯಕ ಮಾಹಿತಿಯ ಸಂಗ್ರಹಣೆಯಾಗಿ ಬಳಸಿದರೆ, ಅದನ್ನು ಆಕ್ರಮಣಕಾರರಿಂದ ದೂರದಿಂದಲೇ ಓದಬಹುದು. ಸಾಧನದಲ್ಲಿ ಯಾವುದೇ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸದಿರುವುದು ಉತ್ತಮ ಪರಿಹಾರವಾಗಿದೆ. ದುರದೃಷ್ಟವಶಾತ್, ಇದು ಯಾವಾಗಲೂ ಸಾಧ್ಯವಿಲ್ಲ.

XXE (XML ಎಕ್ಸ್‌ಟರ್ನಲ್ ಎಂಟಿಟಿ) ಆಕ್ರಮಣಕಾರರು ಎಕ್ಸ್‌ಎಂಎಲ್ ವಿನಂತಿಯಲ್ಲಿ ಬಾಹ್ಯ ಅಥವಾ ಆಂತರಿಕ ಘಟಕಗಳನ್ನು ಎಂಬೆಡ್ ಮಾಡಬಹುದಾದ ಆಕ್ರಮಣವಾಗಿದೆ ಮತ್ತು ಸಿಸ್ಟಮ್ ಮೂಲಕ ಅವುಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಗುತ್ತದೆ.

ದಾಳಿಯ ಪರಿಣಾಮವಾಗಿ, ಸಾಧನವು ಜೈಲ್ ಬ್ರೇಕ್ ಹೊಂದಿಲ್ಲದಿದ್ದರೆ ಆಕ್ರಮಣಕಾರರು ಅಪ್ಲಿಕೇಶನ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಫೈಲ್‌ಗಳನ್ನು ಓದಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ ಮತ್ತು ಸಾಧನವು ಜೈಲ್ ಬ್ರೇಕ್ ಹೊಂದಿದ್ದರೆ ಯಾವುದೇ ಫೈಲ್‌ಗಳನ್ನು ಓದಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ (ಜೈಲ್ ಬ್ರೇಕ್ ಸಂದರ್ಭದಲ್ಲಿ, ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಕಾರ್ಯವಿಧಾನವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ). ಇದರರ್ಥ ಯಾವುದೇ ಸೂಕ್ಷ್ಮ ಅಪ್ಲಿಕೇಶನ್ ಫೈಲ್‌ಗಳನ್ನು ಓದಬಹುದು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಸೇವೆಯ ಅಪ್ಲಿಕೇಶನ್ ನಿರಾಕರಣೆಯನ್ನು ಉಂಟುಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದ್ದಾರೆ.

ಗುಣಲಕ್ಷಣ

ಪ್ರಮಾಣ

XXE ಗೆ ಸಂಭಾವ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುತ್ತದೆ

XXE ಕೊರತೆ

ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಫೈಲ್ ಸಿಸ್ಟಮ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಕಾರ್ಯಗಳನ್ನು ಬಳಸುತ್ತವೆ. ಸರ್ವರ್‌ನಿಂದ ಸ್ವೀಕರಿಸಿದ ಡೇಟಾವು ಸಾಕಷ್ಟು ಫಿಲ್ಟರ್ ಆಗದಿದ್ದರೆ ಮತ್ತು ಈ ರೀತಿಯ ಕಾರ್ಯಕ್ಕೆ ಪ್ರವೇಶಿಸಿದರೆ, ಆಕ್ರಮಣಕಾರರು ಮೂಲ ಕಾರ್ಯನಿರ್ವಹಣೆಯಿಂದ ಒದಗಿಸದ ಫೈಲ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಗುಣಲಕ್ಷಣ

ಪ್ರಮಾಣ

ಡೈರೆಕ್ಟರಿ ಟ್ರಾವರ್ಸಲ್‌ಗೆ ಸಂಭಾವ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುತ್ತದೆ

ಯಾವುದೇ ಡೈರೆಕ್ಟರಿ ಟ್ರಾವರ್ಸಲ್ ದುರ್ಬಲತೆ ಇಲ್ಲ

NSLog ಕಾರ್ಯವನ್ನು ಸಾಮಾನ್ಯ ಸಿಸ್ಟಮ್ ಲಾಗ್‌ಗೆ ಡೀಬಗ್ ಮಾಡುವ ಮಾಹಿತಿಯನ್ನು ಬರೆಯಲು ಬಳಸಲಾಗುತ್ತದೆ. ಯಾವುದೇ ಅಪ್ಲಿಕೇಶನ್ ಈ ಲಾಗ್‌ನಿಂದ ಡೇಟಾವನ್ನು ಓದಬಹುದು ಮತ್ತು ಬರೆಯಬಹುದು.

ಸ್ಟೋರ್‌ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಪ್ರಕಟಿಸುವ ಮೊದಲು, ನೀವು ಈ ಕಾರ್ಯವನ್ನು ಬಳಸಲು ನಿರಾಕರಿಸಬೇಕು: ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಸಂಶೋಧಿಸುವ ನಮ್ಮ ಅನುಭವವು ತೋರಿಸಿದಂತೆ, ಆಗಾಗ್ಗೆ ನಿರ್ಣಾಯಕ ಮಾಹಿತಿಯು ಲಾಗ್‌ಗೆ ಸೇರುತ್ತದೆ, ಅದರ ಪ್ರವೇಶವು ಬಳಕೆದಾರರ ಬ್ಯಾಂಕಿಂಗ್ ಡೇಟಾವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಅಥವಾ ಭಾಗಶಃ ರಾಜಿ ಮಾಡಬಹುದು. ಜೊತೆಗೆ, ಈ ಕಾರ್ಯತಪ್ಪಾಗಿ ಬಳಸಿದರೆ, ಇದು ಫಾರ್ಮ್ಯಾಟ್ ಸ್ಟ್ರಿಂಗ್ ದಾಳಿಗೆ ಒಳಗಾಗುತ್ತದೆ.

ಗುಣಲಕ್ಷಣ

ಪ್ರಮಾಣ

ಬಳಸಿ

ಬಳಸಬೇಡಿ

ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್ ಕ್ಲೈಂಟ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ, ಆಗಾಗ್ಗೆ ನೀವು ನಿರ್ಣಾಯಕ, ವೈಯಕ್ತಿಕ ಮಾಹಿತಿಯನ್ನು ನಮೂದಿಸಬೇಕಾಗುತ್ತದೆ, ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ, ಆಕ್ರಮಣಕಾರರು ಅದರ ಮಾಲೀಕರಿಗೆ ಕೆಲವು ರೀತಿಯ ಹಾನಿಯನ್ನು ಉಂಟುಮಾಡಬಹುದು. ಕೆಳಗೆ ವಿವರಿಸಿದ ಪರಿಶೀಲನೆಗಳು ಅಪ್ಲಿಕೇಶನ್ ಕ್ಷೇತ್ರಗಳಲ್ಲಿ ಬಳಕೆದಾರರು ನಮೂದಿಸಿದ ಡೇಟಾದ (ಲಾಗಿನ್, ಪಾಸ್‌ವರ್ಡ್, ಪಿನ್, ಖಾತೆ ಸಂಖ್ಯೆ, ಇತ್ಯಾದಿ) ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ಣಯಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿವೆ. iOS ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ, ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳು, ಸ್ವಯಂ-ತಿದ್ದುಪಡಿ ಕಾರ್ಯ ಅಥವಾ ಪೇಸ್ಟ್‌ಬೋರ್ಡ್ ಮೂಲಕ ನಮೂದಿಸಲಾದ ನಿರ್ಣಾಯಕ ಮಾಹಿತಿಯ ಸೋರಿಕೆ ಸಾಧ್ಯ.

ಗುಣಲಕ್ಷಣ

ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳು

ಸ್ವಯಂ ತಿದ್ದುಪಡಿ

ಸುರಕ್ಷಿತ ಬಳಕೆ

ಅಸುರಕ್ಷಿತ ಬಳಕೆ

ನೀವು iOS ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಕಡಿಮೆ ಮಾಡಿದಾಗ, ಅದು ಸ್ಕ್ರೀನ್‌ಶಾಟ್ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ನೀವು ಮುಂದಿನ ಬಾರಿ ಅದನ್ನು ತೆರೆಯುವವರೆಗೆ ಅದನ್ನು ಉಳಿಸುತ್ತದೆ. ರಚಿಸಲಾದ ಸ್ಕ್ರೀನ್‌ಶಾಟ್ ನಿರ್ಣಾಯಕ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರಬಹುದು, ನಂತರ ಅದನ್ನು ಆಕ್ರಮಣಕಾರರಿಂದ ಮರುಸ್ಥಾಪಿಸಬಹುದು.

ಡೇಟಾವನ್ನು ನಮೂದಿಸುವಾಗ, ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಅತ್ಯಂತ ಸರಿಯಾದ ಇನ್ಪುಟ್ ಆಯ್ಕೆಗಾಗಿ ಬಳಕೆದಾರರನ್ನು ಪ್ರೇರೇಪಿಸುತ್ತದೆ. ಪ್ರಗತಿಯಲ್ಲಿದೆ ಈ ವ್ಯವಸ್ಥೆಅದರ ಪದದ ನೆಲೆಯನ್ನು ಹೆಚ್ಚಿಸಬಹುದು. ಹೀಗಾಗಿ, ಸಾಧನದಲ್ಲಿ ಸಂಗ್ರಹಿಸದ ಗೌಪ್ಯ ಡೇಟಾವು ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿ ಕೊನೆಗೊಳ್ಳಬಹುದು. ಪ್ರಸ್ತುತ, ಪಾಸ್‌ವರ್ಡ್ ನಮೂದು ಕ್ಷೇತ್ರಗಳಿಗೆ ಸ್ವಯಂ ತಿದ್ದುಪಡಿಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಆದರೆ ಇತರ ನಿರ್ಣಾಯಕ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರುವ ಕ್ಷೇತ್ರಗಳಿಗೆ, ಸ್ವಯಂ ತಿದ್ದುಪಡಿಯನ್ನು ಪ್ರೋಗ್ರಾಮಿಕ್ ಆಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು.

ಕ್ಲಿಪ್‌ಬೋರ್ಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಕಾರ್ಯ. ಪ್ರಮಾಣಿತ ಪೇಸ್ಟ್‌ಬೋರ್ಡ್ ಬಳಸುವಾಗ, ಇತರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಕ್ಲಿಪ್‌ಬೋರ್ಡ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು, ಅಂದರೆ ನಿರ್ಣಾಯಕ ಡೇಟಾ ಸೋರಿಕೆಯಾಗಬಹುದು.

ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಸಾಕಷ್ಟು ಡೀಬಗ್ ಮಾಡುವ ಮಾಹಿತಿಯು ಕಂಡುಬಂದಿದೆ, ಇದು ಅಪ್ಲಿಕೇಶನ್ ಡೆವಲಪರ್‌ನ ಆಂತರಿಕ ಮೂಲಸೌಕರ್ಯದ ಕಲ್ಪನೆಯನ್ನು ಪಡೆಯಲು ನಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ; ಆಂತರಿಕ ಬಳಕೆ, ಇದು ಡೆವಲಪರ್‌ಗಳಿಂದ ಪತ್ರವ್ಯವಹಾರವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ನಿರ್ದಿಷ್ಟ ದೋಷವನ್ನು ಮುಚ್ಚುವ ಅಥವಾ ಹೊಸ ಕಾರ್ಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸ್ಥಿತಿಯ ಕುರಿತು ಟಿಪ್ಪಣಿಗಳು.

ಬಿಡುಗಡೆಯ ಮೊದಲು ಅಗತ್ಯವಿದೆ ಹೊಸ ಆವೃತ್ತಿಆಪ್ ಸ್ಟೋರ್‌ನಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಗಾಗಿ ಫಲಿತಾಂಶದ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಎಚ್ಚರಿಕೆಯಿಂದ ಪರಿಶೀಲಿಸಿ.

ಅಧ್ಯಯನ ಮಾಡಿದ ಎಲ್ಲಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ:

ಯಾವುದೂ ವಿರೋಧಿ ಡೀಬಗ್ ಮಾಡುವ ತಂತ್ರಗಳನ್ನು ಬಳಸಲಿಲ್ಲ;

ಯಾವುದೂ ಕೋಡ್ ಅಸ್ಪಷ್ಟತೆಯ ತಂತ್ರಗಳನ್ನು ಬಳಸಲಿಲ್ಲ;

ಸಾಧನದಲ್ಲಿ ಜೈಲ್ ಬ್ರೇಕ್ ಇರುವಿಕೆಯನ್ನು ಎರಡು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಪತ್ತೆಹಚ್ಚಿವೆ.

ಆಬ್ಜೆಕ್ಟಿವ್-ಸಿ ಯಲ್ಲಿನ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಮಾದರಿಯ ವಿಶಿಷ್ಟತೆಗಳ ಕಾರಣದಿಂದಾಗಿ, ಮೂಲ ಕೋಡ್ ಇಲ್ಲದಿದ್ದರೂ ಸಹ, ಬಳಸಿದ ವರ್ಗಗಳ ಉದ್ದೇಶ ಮತ್ತು ಅವುಗಳ ವಿಧಾನಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಮರುಸ್ಥಾಪಿಸುವುದು ಸುಲಭ, ಇದು ಪ್ರೋಗ್ರಾಂನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮರುಸ್ಥಾಪಿಸುವ ಮತ್ತು ಹುಡುಕುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೆಚ್ಚು ಸರಳಗೊಳಿಸುತ್ತದೆ. ಅದರಲ್ಲಿರುವ ದುರ್ಬಲತೆಗಳಿಗಾಗಿ.

ಸ್ಥಾಪಿಸಲಾದ ಜೈಲ್ ಬ್ರೇಕ್ ಹೊಂದಿರುವ ಸಾಧನವು ವಿವಿಧ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳಿಗೆ ಹೆಚ್ಚು ಒಳಗಾಗುತ್ತದೆ. ಜೈಲ್ ಬ್ರೇಕ್ ಸಮಯದಲ್ಲಿ ಹೆಚ್ಚಿನ ಭದ್ರತಾ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಎಂಬುದು ಇದಕ್ಕೆ ಕಾರಣ. ನಿಯಮದಂತೆ, ಜೈಲ್ ಬ್ರೇಕ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅಂತಹ ಸಾಧನದಲ್ಲಿ ಕೆಲಸ ಮಾಡಲು ನಿರಾಕರಿಸುತ್ತವೆ ಅಥವಾ ಸೀಮಿತ ಕಾರ್ಯವನ್ನು ಒದಗಿಸುತ್ತವೆ.

ಆದರೆ ನೀವು ಮೇಲಿನ ಎಲ್ಲಾ ತಂತ್ರಗಳನ್ನು ಬಳಸಿದರೂ ಸಹ, ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಇನ್ನೂ ಪರಿಶೀಲಿಸಬಹುದು ಮತ್ತು ಜೈಲ್ ಬ್ರೋಕನ್ ಸಾಧನದಲ್ಲಿ ರನ್ ಮಾಡಬಹುದು. ಅವರು ಅಪ್ಲಿಕೇಶನ್ ಸಂಶೋಧನಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತಾರೆ ಮತ್ತು ನಿಧಾನಗೊಳಿಸುತ್ತಾರೆ ಮತ್ತು ಹೆಚ್ಚು ಅರ್ಹವಾದ ಸಂಶೋಧಕರ ಅಗತ್ಯವಿರುತ್ತದೆ.

Android ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಸಂಶೋಧನೆ ಫಲಿತಾಂಶಗಳು

ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ ಡೆವಲಪರ್ ಎರಡೂ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳಿಗೆ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವುದರಿಂದ ಅಂಕಿಅಂಶಗಳು iOS ಗಾಗಿ ಹೊಂದಿಕೆಯಾಗುತ್ತವೆ.

Android ಗಾಗಿ ಖಾತೆ ಪ್ರವೇಶದೊಂದಿಗೆ ರಷ್ಯಾದ ಬ್ಯಾಂಕುಗಳಿಗೆ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್ ಡೆವಲಪರ್‌ಗಳ ಅಂಕಿಅಂಶಗಳು

* ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ಡೆವಲಪರ್ ಅನ್ನು ನಿಖರವಾಗಿ ಗುರುತಿಸಲು ಯಾವಾಗಲೂ ಸಾಧ್ಯವಿಲ್ಲ. ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬ್ಯಾಂಕ್ ಅಥವಾ ವ್ಯಕ್ತಿಯ ಹೆಸರಿನಲ್ಲಿ ಸ್ಟೋರ್‌ನಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಡೆವಲಪರ್ ಕುರಿತು ಯಾವುದೇ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರದಿರುವುದು ಇದಕ್ಕೆ ಕಾರಣ.

AndroidManifest.xml ಅನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡಲಾಗುತ್ತಿದೆ

AndroidManifest.xml ಫೈಲ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ, ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ಅಗತ್ಯವಿರುವ ಅನುಮತಿಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಬಳಸುವ ಇಂಟರ್‌ಪ್ರೊಸೆಸ್ ಸಂವಹನ ಕಾರ್ಯವಿಧಾನಗಳ ಕುರಿತು ನೀವು ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಬಹುದು.

	ಈ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸಂಖ್ಯೆ
android.permission.INTERNET
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
Android.permission.CALL_PHONE
Android.permission.WRITE_EXTERNAL_STORAGE
android.permission.RECEIVE_SMS
Android.permission.READ_CONTACTS
android.permission.ACCESS_MOCK_LOCATION
android.permission.VIBRATE
android.permission.ACCESS_WIFI_STATE
android.permission.SEND_SMS
android.permission.ACCESS_GPS
android.permission.CHANGE_CONFIGURATION
Android.permission.CAMERA
android.permission.CONTROL_LOCATION_UPDATES
Android.permission.READ_SMS
Android.permission.WRITE_CONTACTS
android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
android.permission.CHANGE_WIFI_STATE
Android.permission.READ_LOGS
android.permission.WRITE_SMS
Android.permission.BROADCAST_STICKY
android.permission.GET_TASKS
Android.permission.WRITE_SETTINGS

ಕೋಷ್ಟಕದಲ್ಲಿ, ನಿರ್ಣಾಯಕ ಅಪ್ಲಿಕೇಶನ್ ಹಕ್ಕುಗಳನ್ನು ಕೆಂಪು ಬಣ್ಣದಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಸಾಧನ ಲಾಗ್‌ಗಳು, ಸಾಧನ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಓದಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಅಸುರಕ್ಷಿತ API ಕರೆಗಳಲ್ಲಿ ಬಳಸಿದಾಗ ಅಗತ್ಯವಿದೆ. ಉದಾಹರಣೆಗೆ, WRITE_EXTERNAL_STORAGE ಬಲವು ನಿಮಗೆ ಡೇಟಾವನ್ನು ಓದಲು ಮತ್ತು ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ ಬಾಹ್ಯ SD ಕಾರ್ಡ್. ಅದೇ ಸಮಯದಲ್ಲಿ, ಆಂಡ್ರಾಯ್ಡ್ನಲ್ಲಿ SD ಕಾರ್ಡ್ನಲ್ಲಿನ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಹಕ್ಕುಗಳ ಯಾವುದೇ ವ್ಯತ್ಯಾಸವಿಲ್ಲ: ಯಾವುದೇ ಅಪ್ಲಿಕೇಶನ್ ಅದರಿಂದ ಯಾವುದೇ ಡೇಟಾವನ್ನು ಓದಬಹುದು. ಆದ್ದರಿಂದ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್ SD ಕಾರ್ಡ್‌ನಿಂದ ಸೂಕ್ಷ್ಮ ಕ್ಲೈಂಟ್ ಡೇಟಾವನ್ನು ಓದಬಹುದು.

ನಿರ್ಣಾಯಕವಲ್ಲದ ಆದರೆ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಅಗತ್ಯವಿಲ್ಲದ ಹಕ್ಕುಗಳನ್ನು (ಸಂಪರ್ಕಗಳಿಗೆ ಪ್ರವೇಶ, SMS ಸಂದೇಶಗಳು, ಕ್ಯಾಮೆರಾ) ಹಳದಿ ಬಣ್ಣದಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ.

ಎಷ್ಟು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಹೆಚ್ಚಿನ, ಮಧ್ಯಮ ಮತ್ತು ಕಡಿಮೆ ವಿಮರ್ಶಾತ್ಮಕ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿವೆ ಎಂಬುದನ್ನು ಈ ಗ್ರಾಫ್ ತೋರಿಸುತ್ತದೆ.

ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಇಂಟರ್‌ಪ್ರೊಸೆಸ್ ಸಂವಹನ ಕಾರ್ಯವಿಧಾನಗಳು ವಿಶ್ಲೇಷಿಸಿದ ಅಪ್ಲಿಕೇಶನ್‌ನ ಡೇಟಾ ಪ್ರವೇಶ ಬಿಂದುಗಳಾಗಿವೆ. ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲು ಅವರು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತಾರೆ. ಅಂತಹ ಹೆಚ್ಚಿನ ಡೇಟಾ ಎಂಟ್ರಿ ಪಾಯಿಂಟ್‌ಗಳು, ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಯ ಹೆಚ್ಚಿನ ಸಂಭವನೀಯತೆ.

ContentProvider ಇತರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಡೇಟಾವನ್ನು ಒದಗಿಸುತ್ತದೆ.

ಸ್ವೀಕರಿಸುವವರು ಇತರ ಪ್ರಕ್ರಿಯೆಗಳಿಂದ ಸಂದೇಶ ನಿರ್ವಾಹಕರು.

ಸೇವೆಗಳು Android ನಲ್ಲಿ ಹಿನ್ನೆಲೆ ಪ್ರಕ್ರಿಯೆಗಳಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಸೇವೆಗಳಾಗಿವೆ.

ಚಟುವಟಿಕೆಗಳು ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸುವ ಅಪ್ಲಿಕೇಶನ್‌ನ ದೃಶ್ಯ ಅಂಶವಾಗಿದೆ. ಈ ಘಟಕಗಳಲ್ಲಿನ ಇನ್‌ಪುಟ್ ಡೇಟಾದ ಅಸಮರ್ಪಕ ಮೌಲ್ಯೀಕರಣವು SQL ಇಂಜೆಕ್ಷನ್, XSS, ಡೇಟಾ ಸೋರಿಕೆ ಮತ್ತು ಇತರ ದುರ್ಬಲತೆಗಳಿಗೆ ಕಾರಣವಾಗಬಹುದು.

ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು IMEI ಅಥವಾ IMSI ನಂತಹ ಅನನ್ಯ, ನಿರ್ಣಾಯಕ ಫೋನ್ ಮಾಹಿತಿಯನ್ನು ಪಡೆದುಕೊಳ್ಳುತ್ತವೆ ಮತ್ತು ಬಳಸುತ್ತವೆ. ಈ ಮಾಹಿತಿಯನ್ನು ವೈಯಕ್ತಿಕ ಮಾಹಿತಿ ಎಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ ಏಕೆಂದರೆ ಇದು ಚಂದಾದಾರರನ್ನು ಗುರುತಿಸುತ್ತದೆ ಮತ್ತು ಅವನನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಬಳಸಬಹುದು. ಹೆಚ್ಚುವರಿಯಾಗಿ, IMEI ಮತ್ತು IMSI ಅನ್ನು ಅನನ್ಯ ಗುರುತಿಸುವಿಕೆಯಾಗಿ ಬಳಸಲಾಗುವುದಿಲ್ಲ ಏಕೆಂದರೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳುಅದನ್ನು ಸಹ ಪಡೆಯಬಹುದು.

ಈ ದುರ್ಬಲತೆಯು ನಿರ್ಣಾಯಕವಲ್ಲ, ಆದರೆ ಇತರ ದುರ್ಬಲತೆಗಳ ಜೊತೆಯಲ್ಲಿ ಬಳಸಬಹುದು.

ಗುಣಲಕ್ಷಣ

ಪ್ರಮಾಣ

IMEI/IMSI ಪಡೆಯಿರಿ

IMEI/IMSI ಬಳಸಬೇಡಿ

ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು webView ಘಟಕವನ್ನು ಬಳಸುತ್ತವೆ. ಈ ಘಟಕವು ಸ್ಥಳೀಯವಾಗಿ ಅಥವಾ ದೂರದಿಂದಲೇ ಇರುವ HTML ಪುಟಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಇದು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್, ಫ್ಲ್ಯಾಶ್ ಪ್ಲಗಿನ್ ಮತ್ತು ಫೈಲ್ ಸಿಸ್ಟಮ್ ಪ್ರವೇಶವನ್ನು ಬಳಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಈ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಏಕೆಂದರೆ ಅಸುರಕ್ಷಿತ ಮೂಲಕ ಸಂಪರ್ಕಿಸುವಾಗ HTTP ಪ್ರೋಟೋಕಾಲ್ಅಥವಾ XSS ದುರ್ಬಲತೆ ಇದ್ದರೆ ರಿಮೋಟ್ ಸರ್ವರ್ಆಕ್ರಮಣಕಾರರು ಅನಿಯಂತ್ರಿತ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್ ಈ ದುರ್ಬಲತೆಯೊಂದಿಗೆ ಪುಟವನ್ನು ಪ್ರವೇಶಿಸಿದಾಗ, ಅದು ದುರುದ್ದೇಶಪೂರಿತ JavaScript ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ದಾಳಿಕೋರರು ಕ್ಲೈಂಟ್‌ನ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್ ಮೇಲೆ ಭಾಗಶಃ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯುತ್ತಾರೆ.

ನಾವು ಪರಿಶೀಲಿಸಿದ ಹಲವಾರು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು JavaScript, ಪ್ಲಗ್‌ಇನ್‌ಗಳು ಮತ್ತು ಫೈಲ್ ಸಿಸ್ಟಮ್ ಪ್ರವೇಶವನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಅವುಗಳು ನಿರ್ಣಾಯಕ ದೋಷಗಳಾಗಿವೆ. ತಪ್ಪಾದ ಡೇಟಾ ಮೌಲ್ಯೀಕರಣ ಅಥವಾ ಅಸುರಕ್ಷಿತ ಚಾನಲ್ ಬಳಕೆ ಬಲಿಪಶುವಿನ ಫೋನ್ ಮೇಲೆ ದಾಳಿಗೆ ಕಾರಣವಾಗಬಹುದು. ಫೈಲ್ ಸಿಸ್ಟಮ್ ಪ್ರವೇಶ ಕಾರ್ಯಗಳನ್ನು ಬಳಸುವುದರಿಂದ XSS ದಾಳಿಯ ಸಂದರ್ಭದಲ್ಲಿ ಆಕ್ರಮಣಕಾರರಿಗೆ ಫೈಲ್ ಸಿಸ್ಟಮ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾದ ವೆಬ್‌ವೀವ್ ಅನ್ನು ಬಳಸುವುದು ನಿರ್ಣಾಯಕವಲ್ಲ.

ಈ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯು ನಿರ್ಣಾಯಕ ಕ್ಲೈಂಟ್ ಡೇಟಾದ ರಾಜಿ ಮತ್ತು ನಿಧಿಯ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು.

Android ನಲ್ಲಿ, ರಚಿಸಲಾದ ಎಲ್ಲಾ ಫೈಲ್‌ಗಳು ಆ ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ಮಾತ್ರ ಲಭ್ಯವಿರುತ್ತವೆ, ಆದರೆ ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಎಲ್ಲಾ ಬಳಕೆದಾರರಿಂದ ಓದಬಹುದಾದ ಮತ್ತು ಬರೆಯಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ರಚಿಸುತ್ತವೆ. ಅಂತಹ ಫೈಲ್ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುವುದು ಅದರ ರಾಜಿಗೆ ಕಾರಣವಾಗಬಹುದು.

ಈ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯು ನಿರ್ಣಾಯಕ ಕ್ಲೈಂಟ್ ಡೇಟಾದ ಭಾಗಶಃ ರಾಜಿಗೆ ಕಾರಣವಾಗಬಹುದು.

ಗುಣಲಕ್ಷಣ

ಪ್ರಮಾಣ

ಸಾರ್ವಜನಿಕ ಕಡತಗಳಿವೆ

ಸಾರ್ವಜನಿಕ ಫೈಲ್‌ಗಳಿಲ್ಲ

ಕೆಲವು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಬಳಸುತ್ತವೆ XML ಪಾರ್ಸರ್ಬಾಹ್ಯ ಘಟಕಗಳಿಗೆ ಬೆಂಬಲದೊಂದಿಗೆ. ಈ ಪಾರ್ಸರ್ ಫಿಲ್ಟರ್ ಮಾಡದ ಇನ್‌ಪುಟ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿದರೆ, ಆಕ್ರಮಣಕಾರರು XXE ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು ಮತ್ತು ಅನಿಯಂತ್ರಿತ ಅಪ್ಲಿಕೇಶನ್ ಫೈಲ್ ಅನ್ನು ಓದಬಹುದು.

ಈ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯು ನಿರ್ಣಾಯಕ ಕ್ಲೈಂಟ್ ಡೇಟಾದ ಭಾಗಶಃ ರಾಜಿ ಮತ್ತು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ ಕಾರಣವಾಗಬಹುದು.

ಗುಣಲಕ್ಷಣ

ಪ್ರಮಾಣ

ಸಂಭಾವ್ಯ XXE

XXE ಕಾಣೆಯಾಗಿದೆ

ನಿಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ರಕ್ಷಿಸಲು, ನಿರ್ಮಿಸುವಾಗ ನೀವು ಕನಿಷ್ಟ ಡೀಬಗ್ ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು.

ಆಂಡ್ರಾಯ್ಡ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಡಿಕಂಪೈಲ್ ಮಾಡಲು ಸುಲಭವಾಗಿದೆ, ಆದ್ದರಿಂದ ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್‌ನಿಂದ ರಕ್ಷಿಸಲು ಅಪ್ಲಿಕೇಶನ್ ಅಸ್ಪಷ್ಟತೆ ಅಗತ್ಯ.

ಅಸ್ಪಷ್ಟತೆಯ ಅನುಪಸ್ಥಿತಿಯು ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಮರುಸ್ಥಾಪಿಸುವ ಮತ್ತು ಅದರಲ್ಲಿನ ದೋಷಗಳನ್ನು ಹುಡುಕುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೆಚ್ಚು ಸರಳಗೊಳಿಸುತ್ತದೆ.

ಬೇರೂರಿರುವ ಸಾಧನಗಳು ಭದ್ರತಾ ಬೆದರಿಕೆಗಳಿಗೆ ಗಮನಾರ್ಹವಾಗಿ ಹೆಚ್ಚು ಒಳಗಾಗುತ್ತವೆ. ಆದ್ದರಿಂದ, ಭದ್ರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ನೀವು ಸಾಧನದಲ್ಲಿ ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಪರಿಶೀಲಿಸಬೇಕು. ಪರಿಶೀಲಿಸಲಾದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ, ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿ ರೂಟ್ ಪ್ರವೇಶಕ್ಕಾಗಿ ಕೇವಲ ಒಂದು ಪರಿಶೀಲಿಸಲಾಗಿದೆ.

ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳ ತ್ವರಿತ ಬೆಳವಣಿಗೆ ಮತ್ತು ಅಭಿವೃದ್ಧಿಯಿಂದಾಗಿ, ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್‌ನ ಜನಪ್ರಿಯತೆಯೂ ಬೆಳೆಯುತ್ತಿದೆ.

ಸ್ಥಿರ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆಯ ಆಧಾರದ ಮೇಲೆ ನಮ್ಮ ಸಂಶೋಧನೆಯು, ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳು ನಿಧಿಯ ಕಳ್ಳತನಕ್ಕೆ ಕಾರಣವಾಗುವ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ನ್ಯೂನತೆಗಳನ್ನು ಹೊಂದಿರುತ್ತವೆ ಎಂದು ತೋರಿಸುತ್ತದೆ. ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವು ಸಾಂಪ್ರದಾಯಿಕ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಮಟ್ಟವನ್ನು ಮೀರುವುದಿಲ್ಲ, ಆದರೆ ಅವುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯಗಳು ಹೆಚ್ಚಿದ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳನ್ನು ಸೂಚಿಸುತ್ತವೆ.

ಅಧ್ಯಯನವನ್ನು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು, ಮೊಬೈಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಾಗಿ ನಿರ್ದಿಷ್ಟ ದೋಷಗಳ ಸಂಖ್ಯೆಯು ಸಾಮಾನ್ಯವಾಗಿ ತಿಳಿದಿರುವ ಸಂಖ್ಯೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಮೀರುತ್ತದೆ ಎಂದು ನಾವು ಊಹಿಸಿದ್ದೇವೆ. ಆದರೆ ಪರಿಣಾಮವಾಗಿ, ನೀವು ಎರಡೂ ವರ್ಗಗಳ ಸರಿಸುಮಾರು ಒಂದೇ ಸಂಖ್ಯೆಯ ದುರ್ಬಲತೆಗಳನ್ನು ನೋಡಬಹುದು. ಇದರರ್ಥ ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ನಿರ್ದಿಷ್ಟತೆಗಳ ಅರಿವಿಲ್ಲದೆಯೇ ಪ್ರಸಿದ್ಧ ದಾಳಿಗಳನ್ನು ನಡೆಸುವುದು ಸಾಧ್ಯ. ಫಲಿತಾಂಶಗಳು OWASP ಟಾಪ್ 10 ಮೊಬೈಲ್ ಅಪಾಯಗಳೊಂದಿಗೆ ಅತಿಕ್ರಮಿಸುತ್ತವೆ.

ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಬಳಸುವಾಗ ಅಪಾಯಗಳು ಅಪ್ಲಿಕೇಶನ್‌ನ ಭದ್ರತೆಗೆ ವಿಲೋಮ ಅನುಪಾತದಲ್ಲಿರುತ್ತವೆ. ಆದ್ದರಿಂದ, ಮೊಬೈಲ್ ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸುರಕ್ಷತೆಯ ಸಮಗ್ರ ಲೆಕ್ಕಪರಿಶೋಧನೆ ಅಗತ್ಯ. ಬ್ಯಾಂಕ್ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಆನ್‌ಲೈನ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಗಿಂತ ಮೊಬೈಲ್ ಬ್ಯಾಂಕ್‌ಗಳ ಸುರಕ್ಷತೆಗೆ ಕಡಿಮೆ ಗಮನ ಹರಿಸಬಾರದು.

1. ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಕುರಿತು ಪ್ರೋಗ್ರಾಮರ್‌ಗಳಿಗೆ ತಿಳಿಸಿ;

2. ವಾಸ್ತುಶಿಲ್ಪಕ್ಕೆ ಭದ್ರತೆಯನ್ನು ಸಂಯೋಜಿಸಿ;

3. ಕೋಡ್ ಆಡಿಟ್ ನಡೆಸುವುದು;

4. ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ವಿಶ್ಲೇಷಣೆ ನಡೆಸುವುದು;

5. ಭದ್ರತೆ-ಸಂಬಂಧಿತ ಕಂಪೈಲರ್ ಆಯ್ಕೆಗಳನ್ನು ಅನ್ವಯಿಸಿ;

6. ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ನ ವಿತರಣೆಯನ್ನು ನಿಯಂತ್ರಿಸಿ;

7. ದೋಷಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಮುಚ್ಚಿ ಮತ್ತು ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿ.

ಅಧ್ಯಯನದ ವಿವರವಾದ ಫಲಿತಾಂಶಗಳನ್ನು ವೀಕ್ಷಿಸಲು, ನೀವು ಅದನ್ನು ಕೆಳಗಿನ ಲಿಂಕ್‌ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು.