മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ വിവര സുരക്ഷ. മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷ

ഒബ് സീ ആൽസ് ക്ലീനുന്റർനെഹ്മെർ ഓഡർ ഫർ ഐനെൻ മൾട്ടിനാഷണലെൻ കോൺസെർൻ ടാറ്റിഗ് സിന്ദ്, ഡൈ സോൾട്ടെ ജെഡൻ ഇം ഉന്റർനെഹ്മെൻ ആംഗെഹെൻ അൻഡ് സു ഡെൻ വോർഡ്രിംഗ്ലിച്സ്റ്റെൻ ഔഫ്ഗാബെൻ ഡെർ ഐടി ഗെഹെറൻ. Der unaufhaltsame Trend zur Cloud und die neue BYOD-Mentalität (നിങ്ങളുടെ സ്വന്തം ഉപകരണം കൊണ്ടുവരിക) führen dazu, dass praktisch jeder Mitarbeiter zu jeder Zeit Zugriff auf Ihre Unternehmensdaten hat. സോ സിന്ദ് ഇഹ്രെ ഡേറ്റൻ സിഷെർഹീറ്റ്‌സ്‌റിസികെൻ ഡർച്ച് ഹാക്കർ, വിറൻ അൻഡ് ആൻഡേരെ ആംഗ്രിഫെർ ഓസ്‌ഗെസെറ്റ്‌സ്.

Möglicherweise ist Ihnen die Situation bereits bereits bewusst, sodass Sie Vorkehrungen zum Schutz mobiler Daten getroffen haben. അല്ലെർഡിംഗ്സ് സ്റ്റെൽറ്റ് സിച്ച് ഡൈ ഫ്രേജ്, ഒബ് ഇഹ്രെ സിഷെർഹെയ്റ്റ്സ്ലോസങ് ജെനുജെൻഡ് ഷൂട്സ് വോർ ഡെർ സുനെഹ്മെൻഡെൻ ബെഡ്രോഹംഗ് മൊബൈലർ ഡറ്റൻ ഗേവാർലീസ്റ്റെറ്റ്. ഹിയർ ഐനിഗെ ഫങ്ക്‌ഷനൻ, ഓഫ് ഡൈ എസ് ബെയ് ഡെർ വാൽ ഡെർ റിച്ചിജെൻ അങ്കോംറ്റ്.

കണ്ടെയ്‌നർ ഓഡർ പേഴ്‌സണസ് ഓഫ് ഗെററ്റിബെൻ: മിഥിൽഫ് വോൺ കണ്ടെയ്‌നർ ഓഡർ പേഴ്‌സണാസ് ഓഫ് ഗെററ്റിബെൻ കാൻ ഇഹർ ഐടി-ടീം ഓഫ് ഡെം ബിയോഡ്-ജെററ്റ് ഐൻസ് നട്ട്‌സർസ് ഐൻ ഗെബംഗ് ഓഡർ ഐനെൻഡ് ഇമെൻരിഫ്റ്റ് കണ്ടെയ്‌നർ, hrt und durch spezifische Protokolle geschützt werden. So muss das Sicherheitskonzept nicht auf das gesamte Smartphone angewendet werden, Ihre Daten sind trotzdem geschützt, und das Gerät kann weiterhin uneingeschränkt für private Zwecke genutzt.

മൊബൈൽ ആപ്ലിക്കേഷൻ മാനേജ്‌മെന്റ് (MAM): MAM ട്രാഗ്റ്റ് സും ഷൂട്‌സ് മൊബൈലർ ഡാറ്റൻ ബെയ്, ഇൻഡെം ഇഹർ ഐടി-ടീം മിറ്റാർബെയ്‌റ്റേൺ ഡെൻ സുഗ്രിഫ് ഓഫ് സ്‌പെസിഫിഷെ അൻവെൻഡുൻഗെൻ എർമോഗ്ലിച്റ്റ്, ഡൈ സൈ ഫ്യൂർ ഡൈ അർബെയ്റ്റ് നട്ട്‌സെൻ ഡുർഫെൻ. Da die Anwendungen vom IT-Team uberwacht werden, können sie jederzeit per Remotezugriff entfernt werden. ഡൈസ് ഇസ്റ്റ് വോൺ വോർട്ടെയ്ൽ, വെൻ ഐൻ മിറ്റാർബെയ്റ്റർ സീൻ ഗെററ്റ് വെർലിയർട്ട് ഓഡർ ദാസ് അണ്ടർനെഹ്മെൻ നിച്ച് ഇം ഐൻവർനെഹ്മെൻ വെർലാസ്റ്റ്.
Verschlüsselungsprotokolle: Mobile Sicherheitslösungen bieten auch die Möglichkeit, Verschlüsselungsprotokolle und -technologien zu kombinieren, um Ihre Daten praktisch überall zu schützen. Eine Lösung sollte Protokolle und Technologien kombiniert nutzen, beispielsweise ട്രാൻസ്പോർട്ട് ലെയർ സെക്യൂരിറ്റി/സെക്യൂർ സോക്കറ്റ്സ് ലെയർ (TLS/SSL), ഇന്റർനെറ്റ് പ്രോട്ടോക്കോൾ സെക്യൂരിറ്റി (IPsec), അഡ്വാൻസ്ഡ് എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് (AES)-256 und BitLockersV BitLockers. So dehnen Sie Ihr Sicherheitsnetz aus und können Ihre Daten umfassender schützen als mit einer Lösung, bei der nur eines dieser Protokolle zum Einsatz kommt.
മൾട്ടി-ഫാക്ടർ ഓതന്റിക്കേഷൻ: എയ്ൻ ലോസങ്, ഡൈ മെഹർസ്റ്റുഫിഗെ ഓതൻറിഫൈസിയർംഗ് (മൾട്ടി-ഫാക്ടർ ഓതന്റിക്കേഷൻ) ഉം എസ്എസ്ഒ (സിംഗിൾ സൈൻ-ഓൺ) അൺടർസ്റ്റുട്ട്, ബിയെറ്റ് നിച്ച് നൂർ സിചെരെൻ സുഗാങ് സുഗംഗ് സു ടെൻമൗണ്ട്, സോംഗ് infache Nutzung der benöt igten Dateien. Die Authentifizierung Lässt sich beispielsweise durch einen Telefonanruf, eine SMS oder eine Benachrichtigung auf dem Mobilgerät verifizieren und ist schnell und einfach bestätigt. Einige Multi-Factor Authentication-Lösungen bieten zudem Sicherheitsüberwachung in Echtzeit und nutzen auf മെഷീൻ ലേണിംഗ് അടിസ്ഥാനം ബെറിച്റ്റെ. ഡർച്ച് ഡൈ ഐഡന്റിഫിക്കേഷൻ ഇൻകോൺസിസ്റ്റന്റർ ആൻമെൽഡെമസ്റ്റർ ലാസെൻ സിച്ച് വെർഡാക്റ്റിഗെ ആക്റ്റിവിറ്റേൻ എർമിറ്റൽൻ, ഓഫ് ഡൈ ദാസ് ഐടി-ടീം സോഫോർട്ട് റീജിയേറൻ കാൻ.

അണ്ടർനെഹ്‌മെൻ ജെഡർ ഗ്രോസ് ബൂംറ്റിൽ ഡൈ നട്ട്‌സുങ് പ്രൈവറ്റ് ജെററ്റ്. Deshalb reicht es Längst nicht mehr aus, nur Mobilgeräte zu schützen. Stattdessen benötigen Sie eine umfassende Datenschutzstrategie, die alle Möglichkeiten des mobilen Datenzugriffs abdeckt. Keine Sicherheitslösung kann Ihr Unternehmen vollständig vor Bedrohungen schützen. Sie sollten auf ein Paket setzen, das verschiedene Maßnahmen bündelt, regelmäßig aktualisiert wird und sowohl Nationale als auch Internationale Normen erfüllt. So sorgen Sie dafür, dass Ihre Daten nach neuesten Sicherheitsstandards geschützt sind - egal, wo oder Wie darauf zugegriffen wird.

ആപ്പിൾ, ആൻഡ്രോയിഡ് ഉപകരണങ്ങൾക്കായുള്ള ആപ്ലിക്കേഷൻ സ്റ്റോറുകളിലെ ഉള്ളടക്കങ്ങളുടെ വിശകലനം 14 ആയിരം കണ്ടെത്തി. സംശയാസ്പദമായ പ്രോഗ്രാമുകൾ.

മൊത്തത്തിൽ, വിദഗ്ദ്ധർ ഏകദേശം 400 ആയിരം ആപ്ലിക്കേഷനുകൾ പഠിച്ചു, അവ സാധാരണയായി വിവിധ വ്യവസായങ്ങളിൽ സ്പെഷ്യലൈസ് ചെയ്ത കോർപ്പറേഷനുകളിലെ ജീവനക്കാർ ഇൻസ്റ്റാൾ ചെയ്യുന്നു - സാമ്പത്തിക സേവനങ്ങൾ, മീഡിയ, ടെലികമ്മ്യൂണിക്കേഷൻ മുതലായവ. പഠിച്ച പ്രോഗ്രാമുകളിൽ 3% സുരക്ഷാ പ്രശ്നങ്ങൾ നേരിട്ടതായി തെളിഞ്ഞു.

പ്രത്യേകിച്ചും, ഇത്തരത്തിലുള്ള 85% ആപ്ലിക്കേഷനുകളും പ്രധാനപ്പെട്ട രഹസ്യാത്മക വിവരങ്ങളുടെ വിശ്വസനീയമായ സുരക്ഷ നൽകുന്നില്ല - ഉദാഹരണത്തിന്, വരിക്കാരന്റെ സ്ഥാനം, ചരിത്രം, കോൺടാക്റ്റുകൾ, കലണ്ടർ അടയാളങ്ങൾ, SMS സന്ദേശങ്ങൾ, ഉപകരണ ഐഡന്റിഫയറുകൾ.

കൂടാതെ, 14 ആയിരം ആപ്ലിക്കേഷനുകളിൽ 32% പ്രവർത്തിക്കുന്നു സംശയാസ്പദമായ പ്രവർത്തനങ്ങൾ. ഈ പ്രോഗ്രാമുകൾക്ക് അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങൾ ആവശ്യമാണെന്ന് പറയാം, അത് ആത്യന്തികമായി മറ്റ് ആപ്ലിക്കേഷനുകൾ അൺഇൻസ്റ്റാൾ ചെയ്യാനോ ഇൻസ്റ്റാൾ ചെയ്യാനോ പ്രവർത്തിപ്പിക്കാനോ അനുവദിക്കും. ടെലിഫോൺ സംഭാഷണങ്ങൾ, ആന്റി-വൈറസ് സോഫ്‌റ്റ്‌വെയർ പ്രവർത്തനരഹിതമാക്കുക, കാഷെ ഡാറ്റ കാണുക, അതിൽ ബാങ്ക് പാസ്‌വേഡുകൾ ഉൾപ്പെടാം.

35% ആപ്ലിക്കേഷനുകളും ഉപയോക്താവിന്റെ സ്വകാര്യ വിവരങ്ങൾ സ്വീകരിക്കാനും കൈമാറാനും ശ്രമിക്കുന്നു - ബ്രൗസർ ചരിത്രം, കലണ്ടർ കുറിപ്പുകൾ, വ്യക്തിയുടെ ചലനങ്ങൾ. തൽഫലമായി, ആക്രമണകാരികൾക്ക് ഉപയോക്താവിന്റെയും അവന്റെ സാമൂഹിക ബന്ധങ്ങളുടെയും പൂർണ്ണമായ പ്രൊഫൈൽ സൃഷ്ടിക്കാൻ അവസരം നൽകുന്നു.

ഈ സോഫ്റ്റ്‌വെയർ സൃഷ്ടിക്കുന്ന ഗുരുതരമായ അപകടങ്ങളെക്കുറിച്ച് വിദഗ്ധർ മുന്നറിയിപ്പ് നൽകുന്നു. സംശയാസ്പദമായ ആപ്പുകളെ കുറിച്ച് ഉത്തരവാദിത്തപ്പെട്ട എല്ലാ കക്ഷികളെയും അറിയിച്ചിട്ടുണ്ടെന്ന് വെരാക്കോഡ് പറഞ്ഞു, കൂടാതെ ആപ്പുകൾ ഇപ്പോഴും സ്റ്റോറുകളിൽ ലഭ്യമാണെന്നും ഡൗൺലോഡ് ചെയ്യാമെന്നും CSO പറയുന്നു. അങ്ങനെ, ഓഡിയോബുക്കുകൾ ലേസി ലിസൻ കേൾക്കുന്നതിനുള്ള ചൈനീസ് ആപ്ലിക്കേഷൻ ഇതിനകം 500 ആയിരം തവണ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്, എന്നാൽ ഇൻസ്റ്റാളേഷൻ സമയത്ത് ഇത് പ്രായോഗികമായി ഒരു സ്പൈ പ്രോഗ്രാമായി പ്രവർത്തിക്കാൻ അനുമതി ചോദിക്കുന്നു. Veracode അനുസരിച്ച്, ആപ്ലിക്കേഷൻ ശേഖരിക്കുന്ന വിവരങ്ങൾ വരിക്കാരുടെ സേവനത്തിന്റെ ഗുണനിലവാരം മെച്ചപ്പെടുത്താൻ ഉപയോഗിക്കുന്നില്ല.

FireEye പ്രസിദ്ധീകരിച്ച ഒരു റിപ്പോർട്ട്, iOS, Android ആപ്പുകളിലെ അപകടസാധ്യതയുടെ ഒരു ഭീകരമായ ചിത്രം വരച്ചുകാട്ടുന്നു, അവ ഒന്നിച്ച് 6 ബില്യണിലധികം തവണ ഡൗൺലോഡ് ചെയ്‌തു. IOS കേടുപാടുകൾ പരിഹരിക്കുന്ന ഒരു പാച്ച് ആപ്പിൾ പുറത്തിറക്കിയതിന് ശേഷവും, FireEye പറയുന്നതനുസരിച്ച്, ഇത് ഇപ്പോഴും അങ്ങനെതന്നെയാണ്: "Android, iOS പാച്ചുകൾക്ക് ശേഷവും, RSA_EXPORT സൈഫറുകൾ സ്വീകരിക്കുന്ന സെർവറുകളിലേക്ക് ഉപകരണം കണക്റ്റുചെയ്യുമ്പോൾ അത്തരം അപ്ലിക്കേഷനുകൾ ഇപ്പോഴും ഫ്രീക്കിന് ഇരയാകുന്നു."

യുഎസ് ഗവൺമെന്റ് കയറ്റുമതിക്കായി അംഗീകരിച്ച 512-ബിറ്റ് ആർഎസ്എ കീകൾ സ്വീകരിക്കാൻ സെർവറുകൾ നിർബന്ധിതരായതിനാൽ ഫ്രീക് ആക്രമണം സാധ്യമാണ് (എൻക്രിപ്റ്റ് ചെയ്ത ട്രാഫിക്കിനെ തടസ്സപ്പെടുത്താനും വളരെ മിതമായ കമ്പ്യൂട്ടിംഗ് ഉറവിടങ്ങൾ ഉപയോഗിച്ച് ഡീക്രിപ്റ്റ് ചെയ്യാനും കഴിയുമെന്ന് കരുതിയ കാലഹരണപ്പെട്ട ഒരു പുരാവസ്തു).

ഗൂഗിൾ പ്ലേയിൽ 11,000 ആപ്പുകൾ സ്കാൻ ചെയ്തിട്ടുണ്ടെന്നും അവയിൽ ഓരോന്നിനും കുറഞ്ഞത് ഒരു ദശലക്ഷം ഡൗൺലോഡുകൾ ഉണ്ടെന്നും ഒരു ദുർബലമായ സെർവറിലേക്ക് കണക്റ്റുചെയ്യാൻ ദുർബലമായ ഓപ്പൺഎസ്എസ്എൽ ലൈബ്രറിയുടെ ഉപയോഗം കാരണം 1,228 ആപ്പുകൾ അപകടത്തിലാണെന്നും ഫയർ ഐ പറഞ്ഞു. അവരിൽ 664 പേർ ആൻഡ്രോയിഡിനൊപ്പം വരുന്ന ഓപ്പൺഎസ്എസ്എൽ ലൈബ്രറിയും 564 പേർ പ്രത്യേകം സമാഹരിച്ച ലൈബ്രറിയും ഉപയോഗിച്ചു. FireEye പറയുന്നതനുസരിച്ച്, iOS വശത്ത് പ്രശ്നം അത്ര ഗുരുതരമല്ല: സ്കാൻ ചെയ്ത 14 ആയിരം ആപ്ലിക്കേഷനുകളിൽ 771 എണ്ണം ദുർബലമായ HTTPS സെർവറുകളുമായി ബന്ധിപ്പിച്ചിരിക്കുന്നു. “ഈ ആപ്ലിക്കേഷനുകൾ ഫ്രീക്ക് ആക്രമണത്തിന് വിധേയമാണ് iOS പതിപ്പുകൾ 8.2-ൽ താഴെ, ഗവേഷകർ എഴുതി. "ആ 771 ആപ്പുകളിൽ ഏഴെണ്ണം OpenSSL-ന്റെ സ്വന്തം ദുർബലമായ പതിപ്പുകൾ ഉപയോഗിക്കുന്നു, അവ iOS 8.2-ൽ ദുർബലമായി തുടരുന്നു." അപകടസാധ്യതയുള്ള മിക്ക ആപ്പുകളും ഉപയോക്തൃ സ്വകാര്യതയെയും വിവര സുരക്ഷയെയും ബാധിക്കുന്ന വിഭാഗങ്ങളായി പെടുന്നു, കൂടാതെ ഫോട്ടോ, വീഡിയോ ആപ്പുകൾ, സോഷ്യൽ നെറ്റ്‌വർക്കിംഗ് ആപ്പുകൾ, ഹെൽത്ത് ആൻഡ് ഫിറ്റ്‌നസ് ആപ്പുകൾ, ഫിനാൻസ് ആപ്പുകൾ, കമ്മ്യൂണിക്കേഷൻസ് ആപ്പുകൾ, ഷോപ്പിംഗ് ആപ്പുകൾ, ലൈഫ്‌സ്‌റ്റൈൽ ആപ്പുകൾ, ബിസിനസ്സ് ആപ്പുകൾ എന്നിവ ഉൾപ്പെടുന്നു. മെഡിക്കൽ ആപ്ലിക്കേഷനുകൾ പോലെ. 512-ബിറ്റ് കീകൾ ക്രിപ്‌റ്റോഗ്രാഫിക് യുദ്ധത്തിന്റെ ഒരു പുരാവസ്തുവാണ് - കയറ്റുമതി ഉപയോഗത്തിനായി യുഎസ് ഗവൺമെന്റ് അവ അംഗീകരിച്ചു. ദുർബലമായ ക്രിപ്‌റ്റോ പാക്കേജുകൾക്കുള്ള പിന്തുണ മിക്ക സെർവറുകളിൽ നിന്നും നീക്കം ചെയ്തിട്ടുണ്ടെന്ന് മിക്ക വിദഗ്ധരും വിശ്വസിച്ചിരുന്നു, എന്നാൽ മൈക്രോസോഫ്റ്റ് റിസർച്ചും INRIA (ഈ മേഖലയിൽ പ്രവർത്തിക്കുന്ന ഫ്രാൻസിലെ ഒരു ദേശീയ ഗവേഷണ സ്ഥാപനവും) റിപ്പോർട്ട് ചെയ്യുന്നത് വരെ ഇത് അങ്ങനെയായിരുന്നില്ല. കമ്പ്യൂട്ടർ സയൻസ്, നിയന്ത്രണ സിദ്ധാന്തവും പ്രായോഗിക ഗണിതവും).

സെർവർ അഡ്മിനിസ്ട്രേറ്റർമാരും പ്രധാന സാങ്കേതിക ദാതാക്കളും ദുർബലമായ ക്രിപ്‌റ്റോ പാക്കേജുകൾക്കുള്ള പിന്തുണ അതിവേഗം ഇല്ലാതാക്കുന്നുണ്ടെന്നും കിംഗ്സ് കോളേജ് പഠനം കാണിക്കുന്നു. പ്രാരംഭ കണക്കുകൂട്ടലുകൾ 26% സെർവറുകൾ ഫ്രീക്കിന് ഇരയാകുന്നതായി കാണിച്ചു, എന്നാൽ കിംഗ്സ് കോളേജ് അത് 11% ആയി കുറഞ്ഞു. അതേസമയം, FREAK ചൂഷണങ്ങൾക്ക് അവരുടെ പരിമിതികളുണ്ട്, വിദഗ്ദ്ധരുടെ അഭിപ്രായത്തിൽ, അവർക്ക് TLS കണക്ഷനിൽ ആക്രമണകാരിയുടെ സജീവ ഇടപെടൽ ആവശ്യമായതിനാൽ, അവർക്ക് ഇതിനകം സെർവറിലേക്ക് ആക്‌സസ് ഉണ്ടായിരിക്കണം. റാപ്പിഡ് 7 ലെ ചീഫ് എഞ്ചിനീയർ ടോഡ് ബേർഡ്‌സ്‌ലി പറഞ്ഞു പ്രായോഗിക പ്രഭാവംഈ ബഗ് വഴി പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. "ഒരു സജീവ മനുഷ്യൻ-ഇൻ-ദി-മിഡിൽ അതിന്റെ ആവശ്യകത കാരണം, ഉയർന്ന സുരക്ഷാ നെറ്റ്‌വർക്ക് പരിതസ്ഥിതികളിൽ നിർദ്ദിഷ്ട ഉപയോക്താക്കളെ ടാർഗെറ്റുചെയ്യുന്ന ചാരന്മാർക്ക് ഈ ബഗ് വളരെ ഉപയോഗപ്രദമാകും," അദ്ദേഹം പറഞ്ഞു. - സാധാരണ ഇന്റർനെറ്റ് കുറ്റവാളികൾക്ക് ഇത് വളരെ ഉപകാരപ്രദമല്ല, കാരണം വേറെയും നിരവധിയുണ്ട് ലളിതമായ വഴികൾവ്യത്യസ്ത ബുദ്ധിമുട്ടുള്ള തലങ്ങളിൽ ഉപയോക്തൃ ട്രാഫിക് റീഡയറക്ട് ചെയ്യുന്നതിനും ശേഖരിക്കുന്നതിനും."

അങ്ങനെ, iOS-നുള്ള 35% മൊബൈൽ ബാങ്കുകളും Android- നായുള്ള മൊബൈൽ ബാങ്കുകളിൽ 15% SSL-ന്റെ തെറ്റായ പ്രവർത്തനവുമായി ബന്ധപ്പെട്ട കേടുപാടുകൾ ഉൾക്കൊള്ളുന്നു, അതായത് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം ഉപയോഗിച്ച് നിർണായക പേയ്‌മെന്റ് ഡാറ്റ തടയാൻ കഴിയും. 22% iOS ആപ്പുകളും SQL കുത്തിവയ്പ്പിന് ഇരയാകാൻ സാധ്യതയുണ്ട്, ഇത് കുറച്ച് ലളിതമായ ചോദ്യങ്ങളിലൂടെ എല്ലാ പേയ്‌മെന്റ് വിവരങ്ങളും മോഷ്ടിക്കാനുള്ള അപകടസാധ്യത സൃഷ്ടിക്കുന്നു. 70% iOS ആപ്ലിക്കേഷനുകളും 20% ആൻഡ്രോയിഡ് ആപ്ലിക്കേഷനുകളും XSS-ന് ഇരയാകാൻ സാധ്യതയുണ്ട് - ഒരു മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റിന്റെ ഉപയോക്താവിനെ തെറ്റിദ്ധരിപ്പിക്കാനും അങ്ങനെ, ഉദാഹരണത്തിന്, അവന്റെ പ്രാമാണീകരണ ഡാറ്റ മോഷ്ടിക്കാനും നിങ്ങളെ അനുവദിക്കുന്ന ഏറ്റവും ജനപ്രിയമായ ആക്രമണങ്ങളിൽ ഒന്ന്. 45% iOS ആപ്ലിക്കേഷനുകളും XXE ആക്രമണങ്ങൾക്ക് ഇരയാകാൻ സാധ്യതയുണ്ട്, പ്രത്യേകിച്ചും റഷ്യയിൽ വളരെ പ്രചാരമുള്ള ജയിൽ ബ്രേക്ക് പ്രവർത്തനത്തിന് വിധേയമായ ഉപകരണങ്ങൾക്ക് അപകടകരമാണ്. ഏകദേശം 22% ആൻഡ്രോയിഡ് ആപ്പുകളും ഇന്റർ-പ്രോസസ് കമ്മ്യൂണിക്കേഷൻ മെക്കാനിസങ്ങൾ ദുരുപയോഗം ചെയ്യുന്നു, ഇത് സെൻസിറ്റീവ് ബാങ്കിംഗ് ഡാറ്റ ആക്സസ് ചെയ്യാൻ മൂന്നാം കക്ഷി ആപ്പുകളെ ഫലപ്രദമായി അനുവദിക്കുന്നു.

എന്തുകൊണ്ടാണ് ഈ പ്രത്യേക ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾ ആക്രമിക്കപ്പെട്ടത്? OS ആൻഡ്രോയിഡ്, iOS എന്നിവ ഇന്ന് ഏറ്റവും സാധാരണമായവയാണ് ഏറ്റവും വലിയ സംഖ്യമൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾഅവരുടെ ഗൂഗിൾ പ്ലേയിലും ആപ്പ് സ്റ്റോറിലും യഥാക്രമം). ഫിസിക്കൽ ആക്സസ് ഉപയോഗിച്ച്, ഒരു ആക്രമണകാരിക്ക് ഫയൽ സിസ്റ്റത്തിലേക്ക് ആക്സസ് നേടാനാകും. ഒരു ആപ്ലിക്കേഷൻ പ്രാമാണീകരണ ഡാറ്റയോ മറ്റ് സെൻസിറ്റീവ് ഡാറ്റയോ വ്യക്തമായ വാചകത്തിൽ സംഭരിക്കുന്നുവെങ്കിൽ, ആക്രമണകാരിക്ക് ഈ ഡാറ്റ നേടാനും പണം മോഷ്ടിക്കാനും എളുപ്പമാണ്.

ക്ഷുദ്രകരമായ ആപ്ലിക്കേഷനിലൂടെ ആക്രമിക്കാൻ, സോഷ്യൽ എഞ്ചിനീയറിംഗ് അല്ലെങ്കിൽ ഡ്രൈവ്-ബൈ-ഡൌലോഡ് ആക്രമണം ഉപയോഗിച്ച് നിങ്ങൾ ക്ഷുദ്ര സോഫ്റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്.

ക്ഷുദ്രകരമായ ഒരു ആപ്ലിക്കേഷൻ ഇൻസ്റ്റാൾ ചെയ്തതിന് ശേഷം, ഒരു സ്‌മാർട്ട്‌ഫോൺ OS ദുർബലതയ്‌ക്കായി ഒരു ചൂഷണം ഉപയോഗിച്ച് ഒരു ആക്രമണകാരിക്ക് സിസ്റ്റത്തിലെ അവന്റെ പ്രത്യേകാവകാശങ്ങൾ ഉയർത്താനും നേടാനും കഴിയും. വിദൂര ആക്സസ്ഉള്ള ഉപകരണത്തിലേക്ക് പൂർണ്ണ അവകാശങ്ങൾആക്‌സസ്, ഇത് ഉപകരണത്തിന്റെ സമ്പൂർണ്ണ വിട്ടുവീഴ്‌ചയിലേക്ക് നയിക്കും: ഒരു ആക്രമണകാരിക്ക് നിർണായക മൊബൈൽ ബാങ്കിംഗ് ഉപയോക്തൃ ഡാറ്റ മോഷ്ടിക്കാനോ പേയ്‌മെന്റ് ഇടപാട് ഡാറ്റ മാറ്റിസ്ഥാപിക്കാനോ കഴിയും.

ആശയവിനിമയ ആക്രമണങ്ങൾ: ഒരു ക്ലാസിക് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം ക്ലയന്റ് ഉപകരണത്തിനും സെർവറിനും ഇടയിലുള്ള ഡാറ്റയെ തടസ്സപ്പെടുത്തുന്നു. ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾ ഇരയുടെ അതേ നെറ്റ്‌വർക്കിൽ ആയിരിക്കണം, ഉദാഹരണത്തിന് ഒരു പൊതുസ്ഥലത്ത് Wi-Fi നെറ്റ്‌വർക്കുകൾഅല്ലെങ്കിൽ വ്യാജ വയർലെസ് ആക്സസ് പോയിന്റുകളും വ്യാജ ബേസ് സ്റ്റേഷനുകളും ഉപയോഗിക്കുക. മൊബൈൽ ആപ്ലിക്കേഷനിൽ ഒരു അപകടസാധ്യത ആവശ്യമാണ്: ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ എൻക്രിപ്ഷന്റെ തെറ്റായ പ്രവർത്തനം അല്ലെങ്കിൽ ഡാറ്റ എൻക്രിപ്ഷന്റെ പൂർണ്ണമായ അഭാവം. SSL ശരിയായി പ്രവർത്തിക്കുന്നില്ല എന്നതാണ് ഏറ്റവും സാധാരണമായ ഉദാഹരണം. തൽഫലമായി, ഒരു ആക്രമണകാരിക്ക് പ്രക്ഷേപണം ചെയ്ത ഡാറ്റ ചോർത്താനും മാറ്റിസ്ഥാപിക്കാനും കഴിയും, ഇത് ആത്യന്തികമായി ക്ലയന്റിന്റെ അക്കൗണ്ടിൽ നിന്ന് പണം മോഷ്ടിക്കപ്പെടുന്നതിലേക്ക് നയിച്ചേക്കാം. ഒരു ഉപകരണം (ഐഒഎസ്) ജയിൽ ബ്രേക്ക് ചെയ്യുന്നതോ ഉപയോക്താവിന്റെ ഉപകരണത്തിൽ (ആൻഡ്രോയിഡ്) റൂട്ട് ആക്‌സസ് ഉള്ളതോ ഉപകരണത്തിന്റെ സുരക്ഷയുടെ തോത് ഗണ്യമായി കുറയ്ക്കുകയും ആക്രമണകാരിക്ക് ആക്രമിക്കുന്നത് എളുപ്പമാക്കുകയും ചെയ്യുന്നു എന്നതും ശ്രദ്ധിക്കേണ്ടതാണ്.

മൊബൈൽ പ്ലാറ്റ്‌ഫോമുകൾക്കുള്ള അപേക്ഷകൾ പഴയ അറിയപ്പെടുന്ന ഭീഷണികൾക്കും ഇതുവരെ പൂർണ്ണമായി പഠിച്ചിട്ടില്ലാത്ത പുതിയവയ്ക്കും വിധേയമാണ്. ക്ഷുദ്രകരമായ ആൻഡ്രോയിഡ് ആപ്ലിക്കേഷനുകളുടെ വ്യാപനം വർദ്ധിച്ചുകൊണ്ടിരിക്കുകയാണ്.

മൊബൈൽ ബാങ്കുകൾക്കുള്ള സുരക്ഷാ ഭീഷണികൾ നിർണായക ഉപയോക്തൃ ഡാറ്റയിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നതിനും ഫണ്ടുകൾ മോഷ്ടിക്കുന്നതിനും ബാങ്കിന്റെ പ്രശസ്തിക്ക് കേടുപാടുകൾ വരുത്തുന്നതിനും കാരണമാകുന്നു. മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റുകളുടെ ഡെവലപ്പർമാർ ആപ്ലിക്കേഷൻ സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ വേണ്ടത്ര ശ്രദ്ധ ചെലുത്തുന്നില്ല കൂടാതെ സുരക്ഷിതമായ വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുന്നില്ല. സുരക്ഷിതമായ കോഡും ആർക്കിടെക്ചറും വികസിപ്പിക്കുന്നതിനുള്ള പ്രക്രിയകൾ ഡെവലപ്പർമാർക്ക് പലപ്പോഴും ഇല്ല.

സ്റ്റാറ്റിക് കോഡ് വിശകലനത്തെ അടിസ്ഥാനമാക്കിയുള്ള പഠനം കാണിക്കുന്നത്, മൊബൈൽ ബാങ്കുകളിൽ ഫണ്ട് മോഷണത്തിലേക്ക് നയിച്ചേക്കാവുന്ന കേടുപാടുകളും പോരായ്മകളും അടങ്ങിയിരിക്കുന്നു എന്നാണ്. മിക്ക കേസുകളിലും മൊബൈൽ ബാങ്കുകളുടെ സുരക്ഷാ നിലവാരം പരമ്പരാഗത മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയുടെ നിലവാരം കവിയുന്നില്ല, അതേസമയം അവയുമായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ വർദ്ധിച്ച സുരക്ഷാ ആവശ്യകതകളെ സൂചിപ്പിക്കുന്നു.

പഠനം ആരംഭിക്കുന്നതിന് മുമ്പ്, മൊബൈൽ പ്ലാറ്റ്‌ഫോമിനായുള്ള നിർദ്ദിഷ്ട കേടുപാടുകളുടെ എണ്ണം പൊതുവായി അറിയപ്പെടുന്നവയുടെ എണ്ണത്തേക്കാൾ ഗണ്യമായി കവിയുമെന്ന് അനുമാനിക്കപ്പെട്ടു. എന്നാൽ ഫലമായി, രണ്ട് ക്ലാസുകളിലും ഏകദേശം ഒരേ അളവിലുള്ള ദുർബലത നിങ്ങൾക്ക് കാണാൻ കഴിയും. നന്നായി പെരുമാറാനുള്ള കഴിവ് ഉണ്ടായിരിക്കുക എന്നാണ് ഇതിനർത്ഥം അറിയപ്പെടുന്ന ആക്രമണങ്ങൾമൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളിലേക്കും അവയുടെ പ്രത്യേകതകൾ അറിയാതെയും.

അക്രമികൾക്ക് ആക്രമണം നടത്താൻ നിരവധി മാർഗങ്ങളുണ്ട്. മാത്രമല്ല, സാധ്യമായ നേട്ടങ്ങളുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ ഒരു യഥാർത്ഥ പരിതസ്ഥിതിയിൽ ആക്രമണം നടത്തുന്നതിനുള്ള ചെലവ് വളരെ കുറവായിരിക്കും.

മൊബൈൽ ഉപകരണങ്ങൾക്കായുള്ള ആധുനിക സംരക്ഷണ ഉപകരണങ്ങൾ - ആന്റിവൈറസ് MDM പരിഹാരങ്ങൾ മുതലായവ. അപകടസാധ്യത കുറയ്ക്കാം, പക്ഷേ മുഴുവൻ പ്രശ്നങ്ങളും പരിഹരിക്കില്ല. സിസ്റ്റം ഡിസൈൻ ഘട്ടത്തിൽ സുരക്ഷ അവതരിപ്പിക്കുകയും വികസനവും നടപ്പാക്കലും ഉൾപ്പെടെ പ്രോഗ്രാം ജീവിത ചക്രത്തിന്റെ എല്ലാ ഘട്ടങ്ങളിലും ഉണ്ടായിരിക്കുകയും വേണം. കോഡ് ഓഡിറ്റുകൾ, ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം, നുഴഞ്ഞുകയറ്റ പരിശോധന എന്നിവ നടത്തേണ്ടത് ആവശ്യമാണ്.

മൊബൈൽ ബാങ്കിംഗ് ഉപയോഗിക്കുമ്പോഴുള്ള അപകടസാധ്യതകൾ ആപ്ലിക്കേഷന്റെ സുരക്ഷയ്ക്ക് വിപരീത അനുപാതത്തിലാണ്. അതിനാൽ, മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയെക്കുറിച്ച് സമഗ്രമായ ഓഡിറ്റ് ആവശ്യമാണ്. ഇന്റർനെറ്റ് ബാങ്കുകളുടെ സുരക്ഷയേക്കാൾ മൊബൈൽ ബാങ്കുകളുടെ സുരക്ഷയിൽ ബാങ്കിംഗ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി സ്പെഷ്യലിസ്റ്റുകൾ ശ്രദ്ധിക്കണം.

വി.എ. അർട്ടമോനോവ്

മൊബൈൽ ഉപകരണങ്ങൾ, സിസ്റ്റങ്ങൾ, ആപ്ലിക്കേഷനുകൾ എന്നിവയിലെ സുരക്ഷാ പ്രശ്നങ്ങൾ

ഭാഗം 5

മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ ഭീഷണികളും കേടുപാടുകളും

സംഘടനകളുടെ ആധുനിക ലോകത്ത് ഒപ്പം വ്യക്തികൾതങ്ങളുടെ മിഷൻ-ക്രിട്ടിക്കൽ ബിസിനസ് സംരംഭങ്ങളെ പിന്തുണയ്ക്കാൻ മൊബൈൽ സോഫ്റ്റ്‌വെയർ ആപ്ലിക്കേഷനുകളെ കൂടുതലായി ആശ്രയിക്കുന്നു. ബാങ്കിംഗ് ഉൾപ്പെടെയുള്ള മൊബൈൽ ഇടപാട് സാങ്കേതികവിദ്യ ഉപയോഗിക്കുന്ന ഓർഗനൈസേഷനുകളുടെയും വ്യക്തികളുടെയും ബിസിനസ് പ്രക്രിയകൾക്കായുള്ള സുരക്ഷാ തന്ത്രത്തിന്റെ മുൻ‌ഗണന മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയായിരിക്കണം എന്നാണ് ഇതിനർത്ഥം.

മൊബൈൽ ആപ്ലിക്കേഷൻ വികസനത്തിന്റെ വർദ്ധിച്ചുവരുന്ന ജനപ്രീതിയോടെ, അവരുടെ മൂലധന തീവ്രത വർദ്ധിക്കുന്നു, ഇതോടൊപ്പം, ഈ മൂലധനം അവരുടെ അക്കൗണ്ടുകളിലേക്ക് മാറ്റാനുള്ള ആക്രമണകാരികളുടെ ആഗ്രഹവും. പല ആധുനികവും മൊബൈൽ പ്രോഗ്രാമുകൾആന്തരിക വാങ്ങലുകളും ഉൾപ്പെടുന്നു SMS അയയ്ക്കുന്നുപണമടച്ചുള്ള നമ്പറുകളിലേക്ക്, ഹാക്കർമാർക്ക് ചൂഷണം ചെയ്യാൻ കഴിയുന്ന പഴുതുകളാണിത്. ഒരു മൊബൈൽ ആപ്ലിക്കേഷൻ സൃഷ്ടിക്കാൻ എത്ര ചിലവാകും എന്നത് ഒരു കാര്യമാണ്, അത് സുരക്ഷിതമാക്കാൻ എത്ര ചിലവാകും എന്നതാണ് മറ്റൊരു കാര്യം. മൊബൈൽ ഉപകരണങ്ങളിൽ നിന്ന് പണം ഹാക്ക് ചെയ്യുന്നതിനും എക്‌സ്‌ട്രാക്റ്റുചെയ്യുന്നതിനുമായി വളരെയധികം സംവിധാനങ്ങളുണ്ട്; എല്ലാ വർഷവും പുതിയ അൽഗോരിതങ്ങൾ പ്രത്യക്ഷപ്പെടുന്നു, എന്നാൽ അതേ സമയം, സമയബന്ധിതമായി ഭീഷണികളെ നേരിടാൻ കഴിവുള്ള പ്രതിശക്തി വളരുകയാണ്. അടച്ച സിസ്റ്റങ്ങൾ, പ്രത്യേകിച്ച് iOS, ഈ ട്രെൻഡുകൾക്ക് വളരെ കുറവാണ്, കാരണം അതിന്റെ വാസ്തുവിദ്യ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത് വൈറസുകൾ അതിൽ പ്രത്യക്ഷപ്പെടുന്നത് പ്രായോഗികമായി അസാധ്യമായ വിധത്തിലാണ്.

മറ്റ് കാര്യങ്ങളിൽ, iPhone- നായുള്ള ആപ്ലിക്കേഷനുകൾ വികസിപ്പിക്കുന്നത്, പൊതുവേ, വിലകുറഞ്ഞ ആശയമല്ല; രജിസ്റ്റർ ചെയ്യുന്നത് വളരെ എളുപ്പമാണ് ക്ഷുദ്ര കോഡ്മറ്റ് സിസ്റ്റങ്ങൾക്കായി. ആൻഡ്രോയിഡിനുള്ള ആപ്ലിക്കേഷനുകളുടെ വികസനം ലളിതവും കൂടുതൽ ദുർബലവുമാണ്; എന്നിരുന്നാലും, അതിനുള്ള വിലകളും കുറവാണ്. സ്വകാര്യ ഇമെയിലുകളിലോ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളിലോ പ്രവർത്തിക്കുമ്പോൾ ഫലപ്രദമായ പരിരക്ഷയുടെ പ്രശ്നം പ്രത്യേകിച്ച് നിശിതമാണ്, അവിടെ ഏതെങ്കിലും ഡാറ്റ മോഷണം വലിയ അപകടസാധ്യതകളും സാമ്പത്തിക നഷ്ടങ്ങളും ഉണ്ടാക്കും. ഡവലപ്പർമാർ അത്തരം പ്രോഗ്രാമുകളിലെ അംഗീകാര നടപടിക്രമം അവതരിപ്പിച്ചുകൊണ്ട് സങ്കീർണ്ണമാക്കുന്നു അധിക പരിശോധനകൾആധികാരികത, എന്നിരുന്നാലും, അക്കൗണ്ട് ലോഗിൻ നടപടിക്രമം വളരെ സമയമെടുക്കുന്നതും അസൗകര്യപ്രദവുമാകുമ്പോൾ ആ ദുർബലമായ രേഖ കടക്കാതിരിക്കേണ്ടത് ഇവിടെ പ്രധാനമാണ്.

IBM X-Force നടത്തിയ ഗവേഷണം മൊബൈൽ, WEB ആപ്ലിക്കേഷനുകളുമായി ബന്ധപ്പെട്ട കേടുപാടുകളുടെ ഗണ്യമായ ശതമാനം വ്യക്തമായി തെളിയിക്കുന്നു. അവരുടെ മൊബൈൽ ആപ്ലിക്കേഷനുകൾ ഫലപ്രദമായി പരിരക്ഷിക്കുന്നതിന്, ഓർഗനൈസേഷനുകൾ പിന്തുണയ്ക്കുന്ന സോഫ്റ്റ്വെയറിന്റെയും ആപ്ലിക്കേഷനുകളുടെയും വിപുലമായ പരിശോധന നടത്തേണ്ടതുണ്ട്. മൊബൈൽ സാങ്കേതികവിദ്യ സ്വീകരിക്കുന്നതിന്റെ തുടക്കത്തിൽ തന്നെ പരിശോധനയും മൂല്യനിർണ്ണയവും സുരക്ഷാ ചെലവ് കുറയ്ക്കാൻ സഹായിക്കും.

ആപ്ലിക്കേഷൻ സുരക്ഷാ പരിഹാരങ്ങൾ ഇനിപ്പറയുന്ന പ്രശ്നങ്ങൾ പരിഹരിക്കണം:

- ആപ്ലിക്കേഷൻ സുരക്ഷാ പ്രോഗ്രാം മാനേജ്മെന്റിന്റെ കാര്യക്ഷമത മെച്ചപ്പെടുത്തൽ;

- കേടുപാടുകൾക്കുള്ള സോഴ്സ് കോഡ്, വെബ്, മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ വിശകലനം;

- ആപ്ലിക്കേഷനുകളുടെ സ്റ്റാറ്റിക്, ഡൈനാമിക് ടെസ്റ്റിംഗിന്റെ ഫലങ്ങളുടെ ഓട്ടോമേഷൻ;

സുതാര്യമായ ബോക്സ് ടെസ്റ്റിംഗ് (ഇന്ററാക്ടീവ് ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി ടെസ്റ്റിംഗിന്റെ (IAST) ഒരു രൂപം ഉൾപ്പെടെ, ഒരൊറ്റ കൺസോളിൽ നിന്ന് ആപ്ലിക്കേഷൻ ടെസ്റ്റിംഗ്, റിപ്പോർട്ടുകൾ, നയങ്ങൾ എന്നിവ നിയന്ത്രിക്കുക.

മൊബൈൽ ഉപകരണങ്ങൾക്കായുള്ള ആപ്ലിക്കേഷനുകളുടെ വർഗ്ഗീകരണം.

മൊബൈൽ ഉപകരണങ്ങൾക്കായുള്ള ആപ്ലിക്കേഷനുകളെ പല മാനദണ്ഡങ്ങൾക്കനുസരിച്ച് തരംതിരിക്കാം, എന്നാൽ ആപ്ലിക്കേഷൻ സുരക്ഷയുടെ പശ്ചാത്തലത്തിൽ, ഇനിപ്പറയുന്നവയിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ട്: ആപ്ലിക്കേഷന്റെ സ്ഥാനവും ഉപയോഗിച്ച ഡാറ്റാ ട്രാൻസ്ഫർ സാങ്കേതികവിദ്യയും അനുസരിച്ച്.

അപേക്ഷയുടെ സ്ഥാനം അനുസരിച്ച്:

സിം ആപ്ലിക്കേഷനുകൾ - ഒരു സിം കാർഡിലെ ഒരു ആപ്ലിക്കേഷൻ, സിം ആപ്ലിക്കേഷൻ ടൂൾകിറ്റ് (എസ്ടികെ) സ്റ്റാൻഡേർഡിന് അനുസൃതമായി എഴുതിയിരിക്കുന്നു;
വെബ് ആപ്ലിക്കേഷനുകൾ - ഒരു വെബ് സൈറ്റിന്റെ പ്രത്യേക പതിപ്പ്;
ഒരു സ്മാർട്ട്ഫോണിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഒരു പ്രത്യേക API ഉപയോഗിച്ച് ഒരു പ്രത്യേക മൊബൈൽ OS-നായി വികസിപ്പിച്ച ആപ്ലിക്കേഷനുകളാണ് മൊബൈൽ ആപ്ലിക്കേഷനുകൾ.

സെർവറുമായി സംവദിക്കാൻ ഉപയോഗിക്കുന്ന സാങ്കേതികവിദ്യയുടെ തരം അനുസരിച്ച്:

നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകൾ - HTTP പോലുള്ള TCP/IP വഴി സ്വന്തം ആശയവിനിമയ പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുക;
SMS ആപ്ലിക്കേഷനുകൾ - SMS അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകൾ (ഹ്രസ്വ സന്ദേശമയയ്‌ക്കൽ സേവനം);
ചെറിയ വാചക സന്ദേശങ്ങൾ ഉപയോഗിച്ച് ആപ്ലിക്കേഷൻ സെർവറുമായി വിവരങ്ങൾ കൈമാറുന്നു;
USSD (Unstructured Supplementary Service Data) അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകളാണ് USSD ആപ്ലിക്കേഷനുകൾ. എസ്എംഎസ് പോലെയുള്ള ഹ്രസ്വ സന്ദേശങ്ങളുടെ പ്രക്ഷേപണത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഈ സേവനം, എന്നാൽ നിരവധി വ്യത്യാസങ്ങളുണ്ട്;
ഐവിആർ (ഇന്ററാക്ടീവ് വോയ്സ് റെസ്‌പോൺസ്) സാങ്കേതികവിദ്യയെ അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകളാണ് ഐവിആർ ആപ്ലിക്കേഷനുകൾ. മുൻകൂട്ടി റെക്കോർഡ് ചെയ്തതിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് സിസ്റ്റം ശബ്ദ സന്ദേശങ്ങൾടോൺ ഡയലിംഗും.

ഒരു പ്രത്യേക എപിഐ ഉപയോഗിച്ച് ഒരു നിർദ്ദിഷ്ട മൊബൈൽ ഒഎസിനായി വികസിപ്പിച്ച ആപ്ലിക്കേഷനുകളാണിത്, അനുബന്ധ സേവനവുമായി സംവദിക്കാൻ ഒരു സ്മാർട്ട്‌ഫോണിലോ മറ്റ് ഗാഡ്‌ജെറ്റിലോ ഇൻസ്റ്റാൾ ചെയ്‌തിരിക്കുന്നു, അവ ഇപ്പോൾ ഏറ്റവും സാധാരണമാണ്, കാരണം അവ മൊബൈൽ ഉപകരണത്തിന്റെ കഴിവുകൾ പൂർണ്ണമായി ഉപയോഗിക്കുന്നതും ഏറ്റവും സൗഹൃദപരവുമാണ്. ഉപയോക്തൃ ഇന്റർഫേസ്.

ചില ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷാ നില വിലയിരുത്തുന്നു.

മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷ വിലയിരുത്തുന്ന മേഖലയിൽ Viaforensics കമ്പനി ഒരു അദ്വിതീയ പഠനം നടത്തി, അത് ആത്യന്തികമായി രസകരമായ ഡാറ്റ നൽകി. ഈ കമ്പനിയിലെ ഗവേഷകർ 30 ജനപ്രിയ മൊബൈൽ ആപ്ലിക്കേഷൻ പ്രോഗ്രാമുകൾ ക്രമരഹിതമായി തിരഞ്ഞെടുത്ത് ഗുരുതരമായ വിശ്വാസ്യത പരിശോധനയ്ക്ക് വിധേയമാക്കി. തൽഫലമായി, പ്രഖ്യാപിച്ച പരിഹാരങ്ങളിൽ നാലിലൊന്ന് ഹാക്കിംഗ് വഴി തുറക്കപ്പെട്ടു, അവ സുരക്ഷിതമല്ലെന്ന് വിളിക്കപ്പെട്ടു. ഉപകരണ മെമ്മറിയിൽ നിന്ന് സംഭരിച്ച പിൻ കോഡുകളും നമ്പറുകളും എക്‌സ്‌ട്രാക്‌റ്റുചെയ്യുന്നതിന് ബാഹ്യ സ്വാധീനങ്ങൾ ഉപയോഗിക്കാൻ സ്പെഷ്യലിസ്റ്റുകൾക്ക് കഴിഞ്ഞു ക്രെഡിറ്റ് കാര്ഡുകള്. കൂടാതെ, നിരവധി കേസുകളിൽ, പേയ്‌മെന്റ് ചരിത്രത്തിലേക്ക് അനധികൃത ആക്‌സസ് നൽകാനും സാധിച്ചു. തീർച്ചയായും, ഈ സാഹചര്യം വളരെ പരിതാപകരമാണെന്ന് തോന്നുന്നു; വ്യക്തമായ കാരണങ്ങളാൽ, ഞങ്ങൾ ഏത് ആപ്ലിക്കേഷനുകളെക്കുറിച്ചാണ് സംസാരിക്കുന്നതെന്ന് വയാഫോറൻസിക്സ് റിപ്പോർട്ട് ചെയ്യുന്നില്ല.

മൊബൈൽ ആപ്ലിക്കേഷൻ സുരക്ഷാ സംവിധാനങ്ങൾ തകർക്കാൻ നിരവധി മാർഗങ്ങളുണ്ടെന്ന് അനലിറ്റിക്കൽ കമ്പനിയായ ഡിജിറ്റൽ സെക്യൂരിറ്റിയിലെ വിദഗ്ധരും ശ്രദ്ധിക്കുന്നു. ഡാറ്റ ചാനലുകളുടെ കൃത്രിമത്വം, SQL പ്രസ്താവനകളുടെ മറഞ്ഞിരിക്കുന്ന ഇൻജക്ഷൻ സാധ്യത, തെറ്റായ ആക്സസ് അവകാശങ്ങൾ എന്നിവയും അതിലേറെയും ഇതിൽ ഉൾപ്പെടുന്നു. ഇന്ന്, മൊബൈൽ ഫോണുകൾക്കായുള്ള ആപ്ലിക്കേഷനുകളുടെ വികസനം ഉപഭോക്താവിനായി ചുരുങ്ങിയ സമയത്തിനുള്ളിൽ നടക്കുന്നു, അതിനാൽ സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ വേണ്ടത്ര ശ്രദ്ധ ചെലുത്താൻ ഡെവലപ്പർമാർക്ക് സമയമില്ല.

ഹാക്കിംഗിനുള്ള നിയമലംഘകരുടെ സാധാരണ സമീപനങ്ങൾ അറിയുന്നതിലൂടെ, നിങ്ങളുടെ ഉപകരണത്തിന്റെ സംരക്ഷണത്തിൽ നിങ്ങൾക്ക് കുറച്ചുകൂടി ആത്മവിശ്വാസമുണ്ടാകും. ഈ നിമിഷംഈ ടെക്നിക്കുകൾ കൂടുതലോ കുറവോ സ്ഥിരമാണ്, മിക്ക പാറ്റേണുകളും പ്രതീക്ഷിക്കുന്നു. iOS ആപ്ലിക്കേഷനുകളുടെ വികസനം എവിടെയാണ് ഓർഡർ ചെയ്യേണ്ടതെന്ന് നിങ്ങൾ അന്വേഷിക്കുകയാണെങ്കിൽ, പ്രത്യേകിച്ച് സാമ്പത്തിക ഇടപാടുകൾക്കായി, ശക്തമായ ഒരു സിസ്റ്റം സൃഷ്ടിക്കാൻ തയ്യാറുള്ള തെളിയിക്കപ്പെട്ട പ്രോഗ്രാമർമാരെ മാത്രം ശ്രദ്ധിക്കുക. സുരക്ഷിതമായ പ്രവേശനം. സ്റ്റാൻഡേർഡ് ഡിസെപ്ഷൻ അൽഗോരിതങ്ങൾ അതിൽ പ്രവർത്തിക്കാത്ത വിധത്തിൽ പരിഹാരം തുടക്കത്തിൽ എഴുതുന്നത് അഭികാമ്യമാണ്. ആപ്ലിക്കേഷൻ പ്രവർത്തിക്കുമ്പോൾ, വ്യക്തമായ വാചകത്തിൽ ആശയവിനിമയ ചാനലുകളിലൂടെ ഡാറ്റ കൈമാറാൻ കഴിയും; ഈ സാഹചര്യത്തിൽ ഒരു നല്ല മറുമരുന്ന് സ്ഥിരമായ ഡാറ്റ എൻക്രിപ്ഷൻ ആയിരിക്കും, ഇത് പലപ്പോഴും വിപുലമായ പ്രോഗ്രാമുകളിൽ ഉപയോഗിക്കുന്നു. കൂടാതെ, ഒരു പൂർണ്ണ സുരക്ഷാ സംവിധാനം എല്ലാ സമയത്തും അപ്ഡേറ്റ് ചെയ്യണം.

ഓരോ പ്ലാറ്റ്‌ഫോമിലെയും ആപ്ലിക്കേഷനുകൾക്ക് അവരുടേതായ നിർദ്ദിഷ്ട എഴുത്തും അതിന്റേതായ പ്രത്യേക ഭീഷണികളും ഉണ്ട്, അവ നടപ്പിലാക്കുന്നത് ബാങ്കിംഗ് ഡാറ്റ ഉൾപ്പെടെയുള്ള വ്യക്തിഗത ഡാറ്റ മോഷ്ടിക്കുന്നതിനും കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിലേക്ക് നുഴഞ്ഞുകയറുന്നതിനും ഇടയാക്കും.

ഡിജിറ്റൽ സെക്യൂരിറ്റി ഇനിപ്പറയുന്ന മൊബൈൽ പ്ലാറ്റ്‌ഫോമുകളിൽ ആപ്ലിക്കേഷനുകളുടെ ക്ലയന്റ് ഭാഗത്തിന്റെ സുരക്ഷാ ഓഡിറ്റ് നടത്തി:

ഗൂഗിൾ ആൻഡ്രോയിഡ്;
Apple iOS (iPhone/iPad);
ജാവ (J2ME/Java ME);
വിൻഡോസ് ഫോൺ.

സാധാരണ ഭീഷണികൾ.

ഇനിപ്പറയുന്നവ ഉൾപ്പെടെ മൊബൈൽ ആപ്ലിക്കേഷനുകൾക്കുള്ള സാധാരണ ഭീഷണികൾ തിരിച്ചറിഞ്ഞിട്ടുണ്ട്:

- വ്യക്തമായ രൂപത്തിൽ രഹസ്യ ഡാറ്റ;

- സുരക്ഷിതമല്ലാത്ത വിവര കൈമാറ്റ ചാനലുകൾ;

- ഡീബഗ്ഗിംഗ് കോഡിന്റെ ലഭ്യത;

- SQL പ്രസ്താവനകൾ നടപ്പിലാക്കൽ;

- ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS);

- ഇൻകമിംഗ് ഡാറ്റയുടെ പരിശോധനകളുടെ അഭാവം;

- തെറ്റായ ആക്സസ് അവകാശങ്ങൾ;

- ദുർബലമായ ക്രിപ്റ്റോഗ്രഫി.

ഓഡിറ്റ് രീതിശാസ്ത്രവും ജോലി ഉള്ളടക്കവും.

ഡിജിറ്റൽ സെക്യൂരിറ്റി റിസർച്ച് സെന്റർ വികസിപ്പിച്ചെടുത്ത ഒരു മൊബൈൽ ആപ്ലിക്കേഷന്റെ ക്ലയന്റ് വശത്തിന്റെ സുരക്ഷ ഓഡിറ്റ് ചെയ്യുന്നതിനുള്ള രീതിശാസ്ത്രം, ERP സംവിധാനങ്ങൾ, ഓട്ടോമേറ്റഡ് ബാങ്കിംഗ് സംവിധാനങ്ങൾ, ബാങ്ക് എന്നിങ്ങനെ വിവിധ പ്രവർത്തനക്ഷമതയുടെയും സങ്കീർണ്ണതയുടെയും ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷ വിശകലനം ചെയ്യുന്ന അനുഭവത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. ക്ലയന്റുകൾ, വെബ് ആപ്ലിക്കേഷനുകൾ, ഡാറ്റാബേസ് മാനേജുമെന്റ് സിസ്റ്റങ്ങൾ മുതലായവ. പിസിഐ ഡിഎസ്എസ് ആവശ്യകതകളും സുരക്ഷാ മൂല്യനിർണ്ണയ നടപടിക്രമങ്ങളും, OWASP ടെസ്റ്റിംഗ് ഗൈഡ്, PA-DSS ആവശ്യകതകളും സുരക്ഷാ മൂല്യനിർണ്ണയ നടപടിക്രമങ്ങളും, പരിഷ്കരിച്ചതും പോലുള്ള ഡോക്യുമെന്റുകളിൽ വിവരിച്ചിരിക്കുന്ന പൊതുവായി അംഗീകരിക്കപ്പെട്ട ആപ്ലിക്കേഷൻ ഗവേഷണ രീതികളെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് വിശകലന സമീപനം. DSecRG യുടെ പ്രായോഗിക ഗവേഷണ അനുഭവം കണക്കിലെടുക്കുന്നു.

ജോലിയുടെ ഘട്ടങ്ങൾ.

ആപ്ലിക്കേഷൻ വിശകലന പ്രക്രിയയിൽ നിരവധി അടിസ്ഥാന ഘട്ടങ്ങൾ അടങ്ങിയിരിക്കുന്നു:

- ആപ്ലിക്കേഷന്റെ ക്ലയന്റ് ഭാഗത്തിന്റെ വാസ്തുവിദ്യയുടെ വിശകലനം;

- ഒരു ഭീഷണി മോഡൽ വരയ്ക്കുന്നു;

- കോഡ് സുരക്ഷാ ഓഡിറ്റ്;

- സ്ട്രെസ് ടെസ്റ്റിംഗ് (ഫസ്സിംഗ്);

- ആപ്ലിക്കേഷൻ ലോജിക്ക് അനുസരിച്ച് ഭീഷണികൾ നടപ്പിലാക്കൽ.

മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ അപകടസാധ്യതയെക്കുറിച്ചുള്ള വിദഗ്ദ്ധ വിശകലനം.

ഐഒഎസ്, ആൻഡ്രോയിഡ്, വിൻഡോസ് ഫോൺ എന്നിവയിൽ പ്രവർത്തിക്കുന്ന മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ കേടുപാടുകൾ സംബന്ധിച്ച് ജെറ്റ് ഇൻഫോസിസ്റ്റംസ് കമ്പനി ഒരു വിശകലന റിപ്പോർട്ട് പ്രസിദ്ധീകരിച്ചു. 98% പ്രോഗ്രാമുകൾക്ക് കേടുപാടുകൾ ഉണ്ടെന്നും അവയിൽ 40% ഗുരുതരമായ കേടുപാടുകൾ ഉണ്ടെന്നും പഠന ഫലങ്ങൾ കാണിക്കുന്നു.

58 ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളിൽ നടത്തിയ സർവേയിൽ കമ്പനി വിദഗ്ധർ നേടിയ വിവരങ്ങളുടെ അടിസ്ഥാനത്തിലാണ് റിപ്പോർട്ട്. ഉൽപ്പന്ന സോഴ്സ് കോഡിന്റെ സ്റ്റാറ്റിക്, ഡൈനാമിക് വിശകലനം നടത്തി. ജെറ്റ് ഇൻഫോസിസ്റ്റംസ് വിദഗ്ധർ മൊബൈൽ ആപ്ലിക്കേഷനും വെബ് സേവനവും തമ്മിലുള്ള ഇന്റർനെറ്റ് വർക്ക് ഇന്ററാക്ഷന്റെ സുരക്ഷയുടെ നിലവാരവും സുരക്ഷിത കണക്ഷന്റെ ക്രമീകരണങ്ങളും വിലയിരുത്തി.

“സർവ്വേ വേളയിൽ, മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ തുറന്നുകാട്ടപ്പെടുന്ന ഏറ്റവും ഗുരുതരമായ കേടുപാടുകളെക്കുറിച്ച് ഞങ്ങൾ ശ്രദ്ധ കേന്ദ്രീകരിച്ചു. മാൻ-ഇൻ-ദി-മിഡിൽ ക്ലാസിന്റെ ("മാൻ ഇൻ ദി മിഡിൽ") ആക്രമണങ്ങളും ബാങ്കിംഗ് സംവിധാനങ്ങളുടെ ഉപയോക്താക്കളുടെ രഹസ്യ ഡാറ്റ വിവിധ രീതികളിൽ മോഷ്ടിക്കാൻ ആക്രമണകാരികളെ അനുവദിക്കുന്ന നിരവധി വിടവുകളും ഇതിൽ ഉൾപ്പെടുന്നു," ജോർജി ഗാർബുസോവ് വിശദീകരിച്ചു. ഇൻഫോസിസ്റ്റംസ് കമ്പനിയായ ജെറ്റിന്റെ ഇൻഫർമേഷൻ സെക്യൂരിറ്റി സെന്ററിന്റെ കൺസൾട്ടിംഗ് വിഭാഗം."

പരീക്ഷിച്ച മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളിൽ ഓരോ അഞ്ചിലൊന്ന് (22%) പേരും സുരക്ഷിതമല്ലാത്ത വിവര കൈമാറ്റ പ്രോട്ടോക്കോളുകൾ ഉപയോഗിക്കുന്നുണ്ടെന്നും ഓരോ നാലിലൊന്ന് (25%) സുരക്ഷിതമല്ലാത്ത വെബ് സെർവർ പ്രാമാണീകരണം ഉപയോഗിക്കുന്നുവെന്നും കണ്ടെത്തി. 87% ഉൽപ്പന്നങ്ങളിൽ, ആപ്ലിക്കേഷൻ പാക്കേജിന്റെയും അതിന്റെ ഘടകങ്ങളുടെയും അപര്യാപ്തമായ സംരക്ഷണം വിദഗ്ധർ തിരിച്ചറിഞ്ഞു, കൂടാതെ 78% ൽ, മൊബൈൽ ഉപകരണത്തിലേക്കുള്ള അനധികൃത പ്രിവിലേജഡ് ആക്സസ് സാന്നിധ്യത്തിനായി പരിശോധനകളുടെ അഭാവം ഉണ്ടായിരുന്നു. ഏറ്റവും നിർണായകമായ "ദ്വാരങ്ങൾ" Android ആപ്ലിക്കേഷനുകളിൽ കണ്ടെത്തി, iOS പരിതസ്ഥിതിയിൽ പ്രവർത്തിക്കുന്ന സോഫ്റ്റ്‌വെയർ സൊല്യൂഷനുകളിൽ ഏറ്റവും കുറവ്.

റിമോട്ട് ബാങ്കിംഗ് സംവിധാനങ്ങളുടെ (ആർബിഎസ്) സുരക്ഷാ മേഖലയിലെ പരമ്പരാഗത വാർഷിക റിപ്പോർട്ടുകളിൽ വിദഗ്ധർ രേഖപ്പെടുത്തിയ പ്രവണത സ്ഥിരീകരിച്ചു. മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റുകളുടെ ഡെവലപ്പർമാർ ആപ്ലിക്കേഷൻ സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ വേണ്ടത്ര ശ്രദ്ധ ചെലുത്തുന്നില്ല കൂടാതെ സുരക്ഷിതമായ വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുന്നില്ല. സുരക്ഷിതമായ കോഡും ആർക്കിടെക്ചറും വികസിപ്പിക്കുന്നതിനുള്ള പ്രക്രിയകൾ പലപ്പോഴും കുറവായിരിക്കും. ക്ലയന്റിനും സെർവറിനുമിടയിൽ കൈമാറ്റം ചെയ്യപ്പെടുന്ന ഡാറ്റയെ തടസ്സപ്പെടുത്തുന്നതിനോ ഉപകരണത്തിന്റെയും മൊബൈൽ ആപ്ലിക്കേഷന്റെയും കേടുപാടുകൾ നേരിട്ട് ചൂഷണം ചെയ്യുന്നതിനോ അനുവദിക്കുന്ന ഒരു അപകടസാധ്യതയെങ്കിലും പരിഗണിക്കപ്പെടുന്ന എല്ലാ ആപ്ലിക്കേഷനുകളിലും ഉണ്ടെന്ന് തെളിഞ്ഞു. അങ്ങനെ, iOS-നുള്ള 35% മൊബൈൽ ബാങ്കുകളും Android- നായുള്ള മൊബൈൽ ബാങ്കുകളിൽ 15% SSL-ന്റെ തെറ്റായ പ്രവർത്തനവുമായി ബന്ധപ്പെട്ട കേടുപാടുകൾ ഉൾക്കൊള്ളുന്നു, അതായത് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം ഉപയോഗിച്ച് നിർണായക പേയ്‌മെന്റ് ഡാറ്റ തടയാൻ കഴിയും. 22% iOS ആപ്പുകളും SQL കുത്തിവയ്പ്പിന് ഇരയാകാൻ സാധ്യതയുണ്ട്, ഇത് കുറച്ച് ലളിതമായ ചോദ്യങ്ങളിലൂടെ എല്ലാ പേയ്‌മെന്റ് വിവരങ്ങളും മോഷ്ടിക്കാനുള്ള അപകടസാധ്യത സൃഷ്ടിക്കുന്നു. 70% iOS ആപ്ലിക്കേഷനുകളും 20% ആൻഡ്രോയിഡ് ആപ്ലിക്കേഷനുകളും XSS-ന് ഇരയാകാൻ സാധ്യതയുണ്ട് - ഒരു മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റിന്റെ ഉപയോക്താവിനെ തെറ്റിദ്ധരിപ്പിക്കാനും അങ്ങനെ, ഉദാഹരണത്തിന്, അവന്റെ പ്രാമാണീകരണ ഡാറ്റ മോഷ്ടിക്കാനും നിങ്ങളെ അനുവദിക്കുന്ന ഏറ്റവും ജനപ്രിയമായ ആക്രമണങ്ങളിൽ ഒന്ന്. 45% iOS ആപ്ലിക്കേഷനുകളും XXE ആക്രമണങ്ങൾക്ക് ഇരയാകാൻ സാധ്യതയുള്ളവയാണ്, റഷ്യയിൽ വളരെ പ്രചാരമുള്ള ജയിൽ ബ്രേക്ക് ചെയ്ത ഉപകരണങ്ങൾക്ക് ഇത് പ്രത്യേകിച്ചും അപകടകരമാണ്. ഏകദേശം 22% ആൻഡ്രോയിഡ് ആപ്പുകളും ഇന്റർ-പ്രോസസ് കമ്മ്യൂണിക്കേഷൻ മെക്കാനിസങ്ങൾ ദുരുപയോഗം ചെയ്യുന്നു, അതുവഴി സെൻസിറ്റീവ് ബാങ്കിംഗ് ഡാറ്റ ആക്‌സസ് ചെയ്യാൻ മൂന്നാം കക്ഷി ആപ്പുകളെ ഫലപ്രദമായി അനുവദിക്കുന്നു.

സംരക്ഷണം.

ഉപകരണത്തിന്റെ ക്രിപ്‌റ്റോഗ്രാഫിക് കഴിവുകൾ ഉപയോഗിക്കേണ്ടത് ആവശ്യമാണ്, നിർണായക ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുക, ആവശ്യമെങ്കിൽ ഡാറ്റ വിദൂരമായി മായ്‌ക്കാനുള്ള കഴിവ്, അതുപോലെ തന്നെ നിർണായക ഡാറ്റയുടെ ചോർച്ചയും എൻക്രിപ്ഷന്റെ തെറ്റായ ഉപയോഗവും തിരിച്ചറിയാൻ സഹായിക്കുന്ന ഒരു ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം നടത്തുക.

ആക്രമണം.

ക്ഷുദ്രകരമായ ഒരു ആപ്ലിക്കേഷനിലൂടെ ആക്രമിക്കാൻ, ആക്രമണകാരിക്ക് സോഷ്യൽ എഞ്ചിനീയറിംഗ് ടെക്നിക്കുകൾ അല്ലെങ്കിൽ ഡ്രൈവ്-ബൈ-ഡൗൺലോഡ് ആക്രമണം ഉപയോഗിച്ച് ക്ഷുദ്രകരമായ ആപ്ലിക്കേഷൻ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്.

ക്ഷുദ്രകരമായ ഒരു ആപ്ലിക്കേഷൻ ഇൻസ്റ്റാൾ ചെയ്ത ശേഷം, ആക്രമണകാരിക്ക് സ്‌മാർട്ട്‌ഫോൺ OS-ലെ അപകടസാധ്യതയ്‌ക്കായി ഒരു ചൂഷണം ഉപയോഗിച്ച് സിസ്റ്റത്തിൽ അവന്റെ പ്രത്യേകാവകാശങ്ങൾ ഉയർത്താനും പൂർണ്ണ ആക്‌സസ് അവകാശങ്ങളോടെ ഉപകരണത്തിലേക്ക് വിദൂര ആക്‌സസ് നേടാനും കഴിയും, ഇത് ഉപകരണത്തിന്റെ പൂർണ്ണമായ വിട്ടുവീഴ്‌ചയിലേക്ക് നയിക്കും: ആക്രമണകാരി നിർണായക മൊബൈൽ ബാങ്കിംഗ് ഉപയോക്തൃ ഡാറ്റ മോഷ്ടിക്കാനോ പേയ്‌മെന്റ് ഡാറ്റ പ്രവർത്തനങ്ങൾ മാറ്റിസ്ഥാപിക്കാനോ കഴിയും.

സംരക്ഷണം.

ഉപകരണത്തിൽ സോഫ്റ്റ്വെയർ അപ്ഡേറ്റ് ചെയ്യേണ്ടത് അത്യാവശ്യമാണ്, ഉപയോഗിക്കുക സോഫ്റ്റ്വെയർവിവര സുരക്ഷാ പ്രശ്‌നങ്ങളെക്കുറിച്ച് ഉപയോക്തൃ അവബോധം വർദ്ധിപ്പിക്കുകയും പരിരക്ഷിക്കുകയും ചെയ്യുക.

ആശയവിനിമയ ചാനലിൽ ആക്രമണം.

ഒരു ക്ലാസിക് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം ക്ലയന്റ് ഉപകരണത്തിനും സെർവറിനും ഇടയിലുള്ള ഡാറ്റയെ തടസ്സപ്പെടുത്തുന്നു. ഇതിന് ഇരയുടെ അതേ നെറ്റ്‌വർക്കിൽ ആയിരിക്കേണ്ടതുണ്ട്, അതായത് ഒരു പൊതു വൈഫൈ നെറ്റ്‌വർക്ക് അല്ലെങ്കിൽ വ്യാജ വയർലെസ് ആക്‌സസ് പോയിന്റുകളും വ്യാജ ബേസ് സ്റ്റേഷനുകളും ഉപയോഗിക്കുക. മുൻവ്യവസ്ഥകൾ: മൊബൈൽ ആപ്ലിക്കേഷനിലെ ഒരു അപകടസാധ്യത, ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ തെറ്റായ എൻക്രിപ്ഷൻ അല്ലെങ്കിൽ ഡാറ്റ എൻക്രിപ്ഷന്റെ പൂർണ്ണമായ അഭാവം. SSL-ന്റെ തെറ്റായ പ്രവർത്തനമാണ് ഏറ്റവും സാധാരണമായ ഉദാഹരണം. തൽഫലമായി, ഒരു ആക്രമണകാരിക്ക് പ്രക്ഷേപണം ചെയ്ത ഡാറ്റ ചോർത്താനും മാറ്റിസ്ഥാപിക്കാനും കഴിയും, ഇത് ആത്യന്തികമായി ക്ലയന്റിന്റെ അക്കൗണ്ടിൽ നിന്ന് പണം മോഷ്ടിക്കപ്പെടുന്നതിലേക്ക് നയിച്ചേക്കാം.

സംരക്ഷണം.

എസ്എസ്എൽ ഉപയോഗിച്ച് പ്രവർത്തിക്കുന്നതിന്റെ ശരിയായ നടപ്പാക്കൽ. മൊബൈൽ ആപ്ലിക്കേഷനിൽ, സെർവറിലേക്ക് കണക്‌റ്റ് ചെയ്യുമ്പോൾ, ബാങ്കിന്റെ SSL സർട്ടിഫിക്കറ്റ് മാത്രം നിങ്ങൾ വിശ്വസിക്കണമെന്നും ശുപാർശ ചെയ്യുന്നു. റൂട്ട് സർട്ടിഫിക്കറ്റ് അതോറിറ്റി വിട്ടുവീഴ്ച ചെയ്താൽ ഇത് സഹായിക്കും.

ഒരു ഉപകരണം (ഐഒഎസ്) ജയിൽ ബ്രേക്ക് ചെയ്യുന്നതോ ഉപയോക്താവിന്റെ ഉപകരണത്തിൽ (ആൻഡ്രോയിഡ്) റൂട്ട് ആക്‌സസ് ഉള്ളതോ ഉപകരണത്തിന്റെ സുരക്ഷയുടെ തോത് ഗണ്യമായി കുറയ്ക്കുകയും ആക്രമണകാരിക്ക് ആക്രമിക്കുന്നത് എളുപ്പമാക്കുകയും ചെയ്യുന്നു എന്നതും ശ്രദ്ധിക്കേണ്ടതാണ്.

നിഗമനങ്ങൾ:

മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റുകളുടെ ഡെവലപ്പർമാർ ആപ്ലിക്കേഷൻ സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ വേണ്ടത്ര ശ്രദ്ധ ചെലുത്തുന്നില്ല കൂടാതെ സുരക്ഷിതമായ വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുന്നില്ല. സുരക്ഷിതമായ കോഡും ആർക്കിടെക്ചറും വികസിപ്പിക്കുന്നതിനുള്ള പ്രക്രിയകൾ ഡെവലപ്പർമാർക്ക് പലപ്പോഴും ഇല്ല.

സുരക്ഷാ പ്രശ്‌നങ്ങളെക്കുറിച്ച് പ്രോഗ്രാമർമാരെ അറിയിക്കുക;
വാസ്തുവിദ്യയിൽ സുരക്ഷ കെട്ടിപ്പടുക്കുക;
കോഡ് ഓഡിറ്റുകൾ നടത്തുക;
ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം നടത്തുക;
സുരക്ഷയുമായി ബന്ധപ്പെട്ട കംപൈലർ ഓപ്ഷനുകൾ നടപ്പിലാക്കുക;
ഇന്റർനെറ്റിൽ ആപ്ലിക്കേഷന്റെ വിതരണം നിയന്ത്രിക്കുക;
കേടുപാടുകൾ വേഗത്തിൽ അടച്ച് അപ്‌ഡേറ്റുകൾ റിലീസ് ചെയ്യുക.

മൊബൈൽ ബാങ്കിംഗിൽ ഫണ്ടുകൾ മോഷണം പോകുന്നതിലേക്ക് നയിക്കുന്ന പോരായ്മകളും പോരായ്മകളും ഉണ്ടെന്ന് മുകളിൽ കാണിച്ചിരിക്കുന്നു. മിക്ക കേസുകളിലും മൊബൈൽ ബാങ്കുകളുടെ സുരക്ഷാ നിലവാരം പരമ്പരാഗത മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയുടെ നിലവാരം കവിയുന്നില്ല, അതേസമയം അവയുമായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ വർദ്ധിച്ച സുരക്ഷാ ആവശ്യകതകളെ സൂചിപ്പിക്കുന്നു.

മൊബൈൽ ഉപകരണങ്ങൾക്കുള്ള ആധുനിക സംരക്ഷണ ഉപകരണങ്ങൾ - ആന്റിവൈറസുകൾ, MDM പരിഹാരങ്ങൾ മുതലായവ. - അപകടസാധ്യത കുറയ്ക്കാം, പക്ഷേ മുഴുവൻ പ്രശ്നങ്ങളും പരിഹരിക്കില്ല. സിസ്റ്റം ഡിസൈൻ ഘട്ടത്തിൽ സുരക്ഷ അവതരിപ്പിക്കുകയും വികസനവും നടപ്പാക്കലും ഉൾപ്പെടെ പ്രോഗ്രാം ജീവിത ചക്രത്തിന്റെ എല്ലാ ഘട്ടങ്ങളിലും ഉണ്ടായിരിക്കുകയും വേണം. കോഡ് ഓഡിറ്റുകൾ, ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം, നുഴഞ്ഞുകയറ്റ പരിശോധന എന്നിവ നടത്തേണ്ടത് ആവശ്യമാണ്.

1. സുരക്ഷാ പ്രശ്‌നങ്ങളെക്കുറിച്ച് പ്രോഗ്രാമർമാരെ ബോധവൽക്കരിക്കുക.

2. വാസ്തുവിദ്യയിൽ സുരക്ഷ കെട്ടിപ്പടുക്കുക.

3. ഒരു കോഡ് ഓഡിറ്റ് നടത്തുക.

4. ഒരു ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം നടത്തുക.

5. സുരക്ഷയുമായി ബന്ധപ്പെട്ട കമ്പൈലർ ഓപ്ഷനുകൾ നടപ്പിലാക്കുക.

6. ഇന്റർനെറ്റിൽ ആപ്ലിക്കേഷന്റെ വിതരണം നിയന്ത്രിക്കുക.

7. കേടുപാടുകൾ വേഗത്തിൽ അടച്ച് അപ്‌ഡേറ്റുകൾ റിലീസ് ചെയ്യുക.

സാഹിത്യം

യാകുഷിൻ പീറ്റർ. സുരക്ഷ മൊബൈൽ എന്റർപ്രൈസ്// തുറന്ന സംവിധാനങ്ങൾ № 01, 2013.
അനലിറ്റിക്കൽ സെന്റർ ഇൻഫോ വാച്ച്. ഗ്ലോബൽ ലീക്ക് പഠനം കോർപ്പറേറ്റ് വിവരങ്ങൾകൂടാതെ രഹസ്യാത്മക ഡാറ്റ, 2014.
ഷെറ്റ്കോ നിക്കോളായ്. ബ്രേക്കിംഗ് സെല്ലുലാർ നെറ്റ്‌വർക്കുകൾ GSM: dotting the i's // ET CETERA - സബ്‌സ്‌ക്രിപ്‌ഷൻ നമ്പർ 32, 2013 വഴി വിതരണം ചെയ്യുന്ന ഡിജിറ്റൽ മാസികകളുടെ ഒരു പരമ്പര.
കോർഷോവ് വലേരി. എൽടിഇയിലെ വേഗതയും സുരക്ഷയും // “നെറ്റ്‌വർക്കുകൾ/നെറ്റ്‌വർക്ക് വേൾഡ്” നമ്പർ 6, 2012.
802.11i-2004 - ലോക്കൽ, മെട്രോപൊളിറ്റൻ ഏരിയ നെറ്റ്‌വർക്കുകൾക്കുള്ള IEEE സ്റ്റാൻഡേർഡ് - നിർദ്ദിഷ്ട ആവശ്യകതകൾ - ഭാഗം 11: വയർലെസ് ലാൻ മീഡിയം ആക്‌സസ് കൺട്രോളും (MAC) ഫിസിക്കൽ ലെയറും (PHY) സ്പെസിഫിക്കേഷനുകൾ: ഭേദഗതി 6: മീഡിയം ആക്‌സസ് കൺട്രോൾ (MAC) 2004 സുരക്ഷാ മെച്ചപ്പെടുത്തലുകൾ,.
ബെലോറുസോവ് ഡി.ഐ. Wi-Fi - നെറ്റ്‌വർക്കുകളും വിവര സുരക്ഷയ്ക്കുള്ള ഭീഷണികളും / D.I. ബെലോറുസോവ്, എം.എസ്. കൊരേഷ്കോവ് // പ്രത്യേക സാങ്കേതിക വിദ്യ നമ്പർ 6, 2009; കൂടെ. 2-6.
ട്രിഫോനോവ് ദിമിത്രി. കോർപ്പറേറ്റ് വൈഫൈ എങ്ങനെ ഹാക്ക് ചെയ്യപ്പെടുന്നു: പുതിയ അവസരങ്ങൾ. [ഇലക്‌റ്റർ. res. ]// പോസിറ്റീവ് ടെക്നോളജീസ് റിസർച്ച് സെന്റർ. URL: http://www.securitylab.ru/analytics/471816.php.
ആപ്ലിക്കേഷൻ സുരക്ഷ. അനലിറ്റിക്കൽ റിപ്പോർട്ട് IBM X-Force.[ഇലക്‌ട്രോണിക് റിസോഴ്സ്]//സ്ഥിരമായ URL: http://www.ibm.com/software/products/ru/category/application-security.
മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷാ വിശകലനം (ക്ലയന്റ് ഭാഗം). ഡിജിറ്റൽ സെക്യൂരിറ്റിയിൽ നിന്നുള്ള അനലിറ്റിക്കൽ റിപ്പോർട്ട്.

[ഇലക്ട്രോണിക് റിസോഴ്സ്]//സ്ഥിരമായ URL: http://www.dsec.ru/services/security-analysis/mobile-applications/.

10. 40% മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾക്കും ഗുരുതരമായ കേടുപാടുകൾ ഉണ്ട്. ജെറ്റ് ഇൻഫോസിസ്റ്റംസ് കമ്പനിയുടെ അനലിറ്റിക്കൽ റിപ്പോർട്ട്/ [ഇലക്‌ട്രോണിക് റിസോഴ്‌സ്]// സ്ഥിരം URL: http://servernews.ru/910462

11. മിനോഷെങ്കോ അലക്സാണ്ടർ. മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷ/ [ഇലക്ട്രോണിക് റിസോഴ്സ്]// സ്ഥിരമായ URL:

ഡിജിറ്റൽ സെക്യൂരിറ്റിയിലെ പ്രമുഖ ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഗവേഷകൻ

ഓരോ മൊബൈൽ ഒഎസിനും അതിന്റേതായ പ്രത്യേകതകൾ ഉണ്ട്; അവയിൽ ഓരോന്നിലും നിങ്ങൾക്ക് പുതിയതും അറിയപ്പെടുന്നതുമായ കേടുപാടുകൾ കണ്ടെത്താൻ കഴിയും.

പഠനത്തിന്റെ പ്രധാന ഫലങ്ങൾ

റിമോട്ട് ബാങ്കിംഗ് സംവിധാനങ്ങളുടെ സുരക്ഷാ മേഖലയിലെ പരമ്പരാഗത വാർഷിക റിപ്പോർട്ടുകളിൽ വിദഗ്ധർ രേഖപ്പെടുത്തിയ പ്രവണത സ്ഥിരീകരിച്ചു. മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റുകളുടെ ഡെവലപ്പർമാർ ആപ്ലിക്കേഷൻ സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ വേണ്ടത്ര ശ്രദ്ധ ചെലുത്തുന്നില്ല കൂടാതെ സുരക്ഷിതമായ വികസന മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുന്നില്ല. സുരക്ഷിതമായ കോഡും ആർക്കിടെക്ചറും വികസിപ്പിക്കുന്നതിനുള്ള പ്രക്രിയകൾ പലപ്പോഴും കുറവായിരിക്കും. ക്ലയന്റിനും സെർവറിനുമിടയിൽ കൈമാറ്റം ചെയ്യപ്പെടുന്ന ഡാറ്റയെ തടസ്സപ്പെടുത്തുന്നതിനോ ഉപകരണത്തിന്റെയും മൊബൈൽ ആപ്ലിക്കേഷന്റെയും കേടുപാടുകൾ നേരിട്ട് ചൂഷണം ചെയ്യുന്നതോ അനുവദിക്കുന്ന ഒരു കേടുപാടുകളെങ്കിലും പരിഗണിക്കപ്പെടുന്ന എല്ലാ ആപ്ലിക്കേഷനുകളിലും ഉണ്ടെന്ന് തെളിഞ്ഞു.

അങ്ങനെ, iOS-നുള്ള 35% മൊബൈൽ ബാങ്കുകളും Android- നായുള്ള മൊബൈൽ ബാങ്കുകളിൽ 15% SSL-ന്റെ തെറ്റായ പ്രവർത്തനവുമായി ബന്ധപ്പെട്ട കേടുപാടുകൾ ഉൾക്കൊള്ളുന്നു, അതായത് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം ഉപയോഗിച്ച് നിർണായക പേയ്‌മെന്റ് ഡാറ്റ തടയാൻ കഴിയും. 22% iOS ആപ്പുകളും SQL കുത്തിവയ്പ്പിന് ഇരയാകാൻ സാധ്യതയുണ്ട്, ഇത് കുറച്ച് ലളിതമായ ചോദ്യങ്ങളിലൂടെ എല്ലാ പേയ്‌മെന്റ് വിവരങ്ങളും മോഷ്ടിക്കാനുള്ള അപകടസാധ്യത സൃഷ്ടിക്കുന്നു. 70% iOS ആപ്ലിക്കേഷനുകളും 20% ആൻഡ്രോയിഡ് ആപ്ലിക്കേഷനുകളും XSS-ന് ഇരയാകാൻ സാധ്യതയുണ്ട് - ഒരു മൊബൈൽ ബാങ്കിംഗ് ക്ലയന്റിന്റെ ഉപയോക്താവിനെ തെറ്റിദ്ധരിപ്പിക്കാനും അങ്ങനെ, ഉദാഹരണത്തിന്, അവന്റെ പ്രാമാണീകരണ ഡാറ്റ മോഷ്ടിക്കാനും നിങ്ങളെ അനുവദിക്കുന്ന ഏറ്റവും ജനപ്രിയമായ ആക്രമണങ്ങളിൽ ഒന്ന്. 45% iOS ആപ്ലിക്കേഷനുകളും XXE ആക്രമണങ്ങൾക്ക് ഇരയാകാൻ സാധ്യതയുള്ളവയാണ്, റഷ്യയിൽ വളരെ പ്രചാരമുള്ള ജയിൽ ബ്രേക്ക് ചെയ്ത ഉപകരണങ്ങൾക്ക് ഇത് പ്രത്യേകിച്ചും അപകടകരമാണ്. ഏകദേശം 22% ആൻഡ്രോയിഡ് ആപ്പുകളും ഇന്റർ-പ്രോസസ് കമ്മ്യൂണിക്കേഷൻ മെക്കാനിസങ്ങൾ ദുരുപയോഗം ചെയ്യുന്നു, ഇത് സെൻസിറ്റീവ് ബാങ്കിംഗ് ഡാറ്റ ആക്സസ് ചെയ്യാൻ മൂന്നാം കക്ഷി ആപ്പുകളെ ഫലപ്രദമായി അനുവദിക്കുന്നു.

മൊബൈൽ ലോകം

മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ വർദ്ധിച്ചുവരുന്ന ജനപ്രീതി കണക്കിലെടുക്കുമ്പോൾ, അവയുടെ സുരക്ഷയെക്കുറിച്ച് ഗുരുതരമായ ആശങ്കകൾ ഉണ്ട്, കാരണം സുരക്ഷാ സംവിധാനങ്ങളിലെ വിടവുകൾ നൂറുകണക്കിന് ഡസൻ കണക്കിന് ഉപയോക്താക്കൾക്ക് സാമ്പത്തിക നഷ്ടത്തിലേക്ക് നയിച്ചേക്കാം. മൊബൈൽ പ്ലാറ്റ്‌ഫോമുകൾക്കായി (Android, iOS) വികസിപ്പിച്ച ബാങ്ക് ക്ലയന്റുകൾക്കായി ഡിജിറ്റൽ സെക്യൂരിറ്റി ടീം ഭീഷണികൾ, കേടുപാടുകൾ, ആക്രമണ വെക്‌ടറുകൾ എന്നിവ ശേഖരിക്കുന്ന ഒരു പഠനം നടത്തി. 30-ലധികം റഷ്യൻ ബാങ്കുകളുടെ മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ പഠിച്ചു, അതിൽ ബാങ്കുകൾ സെന്റ് പീറ്റേഴ്സ്ബർഗ്, ബാൾട്ടിക, Bank24.ru, BFA, VTB; VTB24, ഗാസ്‌പ്രോംബാങ്ക്. ഇൻവെസ്റ്റ്ബാങ്ക്, ക്രയിൻവെസ്റ്റ്-ബാങ്ക്, കെഎസ് ബാങ്ക്, മാസ്റ്റർ-ബാങ്ക് എംഡിഎം ബാങ്ക്, മോസ്കോ ഇൻഡസ്ട്രിയൽ ബാങ്ക്, മോസ്കോ ക്രെഡിറ്റ് ബാങ്ക് എംടിഎസ്-ബാങ്ക്, നോമോസ്-ബാങ്ക്; PrimSotsBank, Promsvyazbank, Rosbank, RosEvro-Bank, റഷ്യൻ സ്റ്റാൻഡേർഡ്. Sberbank, മുതലായവ.

ജനപ്രിയ മൊബൈൽ ഒഎസ്

എന്തുകൊണ്ടാണ് ഈ പ്രത്യേക ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾ പഠിച്ചത്? ആൻഡ്രോയിഡ്, ഐഒഎസ് ഒഎസുകളാണ് ഇന്ന് ഏറ്റവും സാധാരണമായത് കൂടാതെ അവരുടെ സ്റ്റോറുകളിൽ ഏറ്റവും കൂടുതൽ മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ ഉണ്ട് (യഥാക്രമം ഗൂഗിൾ പ്ലേ, ആപ്പ് സ്റ്റോർ).

വിൻഡോസ് ഫോൺ ഒഎസ് വളരെ ചെറുപ്പമാണ്, ഇതുവരെ ഉപയോക്താക്കൾക്കിടയിൽ അത്ര വ്യാപകമല്ല, പക്ഷേ ഇതിന് ഇതിനകം തന്നെ അതിന്റെ സ്റ്റോറിൽ (വിൻഡോസ് സ്റ്റോർ) ഒരു ചെറിയ എണ്ണം മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ ഉണ്ട്. Windows Phone OS-നുള്ള ആപ്ലിക്കേഷനുകൾ ഈ പഠനത്തിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല, കാരണം അവയുടെ എണ്ണം ഇപ്പോൾ വളരെ കുറവാണ് (Windows സ്റ്റോറിൽ അവയിൽ 9 എണ്ണം മാത്രമേയുള്ളൂ). പക്ഷേ കൊടുത്തു വിൻഡോസിന്റെ ആവിർഭാവംസാധാരണ വിൻഡോസ് 8 ഒഎസിനും മൊബൈൽ ഒഎസിനുമുള്ള ആപ്ലിക്കേഷനുകൾ ഒരേസമയം വികസിപ്പിക്കാൻ അനുവദിക്കുന്ന (എളുപ്പമുള്ള പോർട്ടിംഗിന് നന്ദി) ഒരു പുതിയ വികസന മോഡൽ അടങ്ങിയിരിക്കുന്ന ഫോൺ 8, വിൻഡോസ് ഫോൺ 8 നുള്ള വികസനത്തിന്റെ ജനപ്രീതിയിൽ വർദ്ധനവ് പ്രതീക്ഷിക്കാം.

മൊബൈൽ ഉപകരണങ്ങൾക്കായുള്ള ആപ്ലിക്കേഷനുകളുടെ വർഗ്ഗീകരണം

അപേക്ഷയുടെ സ്ഥാനം അനുസരിച്ച്:

സിം ആപ്ലിക്കേഷനുകൾ - ഒരു സിം കാർഡിലെ ഒരു ആപ്ലിക്കേഷൻ, സിം ആപ്ലിക്കേഷൻ ടൂൾകിറ്റ് (എസ്ടികെ) സ്റ്റാൻഡേർഡിന് അനുസൃതമായി എഴുതിയിരിക്കുന്നു;
വെബ് ആപ്ലിക്കേഷനുകൾ - ഒരു വെബ് സൈറ്റിന്റെ പ്രത്യേക പതിപ്പ്;
ഒരു സ്മാർട്ട്ഫോണിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഒരു പ്രത്യേക API ഉപയോഗിച്ച് ഒരു പ്രത്യേക മൊബൈൽ OS-നായി വികസിപ്പിച്ച ആപ്ലിക്കേഷനുകളാണ് മൊബൈൽ ആപ്ലിക്കേഷനുകൾ.

സെർവറുമായി സംവദിക്കാൻ ഉപയോഗിക്കുന്ന സാങ്കേതികവിദ്യയുടെ തരം അനുസരിച്ച്:

നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകൾ - HTTP പോലുള്ള TCP/IP വഴി അവരുടെ സ്വന്തം ആശയവിനിമയ പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുക;
എസ്എംഎസ് (ഹ്രസ്വ സന്ദേശമയയ്ക്കൽ സേവനം) അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകളാണ് എസ്എംഎസ് ആപ്ലിക്കേഷനുകൾ.
ചെറിയ വാചക സന്ദേശങ്ങൾ ഉപയോഗിച്ച് ആപ്ലിക്കേഷൻ സെർവറുമായി വിവരങ്ങൾ കൈമാറുന്നു;
USSD (Unstructured Supplementary Service Data) അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകളാണ് USSD ആപ്ലിക്കേഷനുകൾ. എസ്എംഎസ് പോലെയുള്ള ഹ്രസ്വ സന്ദേശങ്ങളുടെ പ്രക്ഷേപണത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഈ സേവനം, എന്നാൽ നിരവധി വ്യത്യാസങ്ങളുണ്ട്;
ഐവിആർ (ഇന്ററാക്ടീവ് വോയ്സ് റെസ്‌പോൺസ്) സാങ്കേതികവിദ്യയെ അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകളാണ് ഐവിആർ ആപ്ലിക്കേഷനുകൾ. മുൻകൂട്ടി റെക്കോർഡ് ചെയ്‌ത വോയ്‌സ് സന്ദേശങ്ങളും ടോൺ ഡയലിംഗും അടിസ്ഥാനമാക്കിയുള്ളതാണ് സിസ്റ്റം.

ഒരു പ്രത്യേക എപിഐ ഉപയോഗിച്ച് ഒരു പ്രത്യേക മൊബൈൽ ഒഎസിനായി വികസിപ്പിച്ച ആപ്ലിക്കേഷനുകളാണ്, അനുബന്ധ ബാങ്കിംഗ് സേവനവുമായി സംവദിക്കുന്നതിന് ഒരു സ്മാർട്ട്‌ഫോണിൽ ഇൻസ്റ്റാൾ ചെയ്‌തിരിക്കുന്നു, അവ ഇപ്പോൾ ഏറ്റവും സാധാരണമാണ്, കാരണം അവ മൊബൈൽ ഉപകരണത്തിന്റെ കഴിവുകൾ പൂർണ്ണമായും ഉപയോഗിക്കുകയും ഏറ്റവും സൗഹാർദ്ദപരമായ ഉപയോക്തൃ ഇന്റർഫേസ് ഉള്ളതുമാണ്. . ഈ പഠനത്തിൽ ഞങ്ങൾ അവരെ പരിഗണിച്ചു.

ആപ്ലിക്കേഷൻ തരങ്ങൾ മൊബൈൽ ബാങ്കിംഗിനായി

"അക്കൗണ്ട് ആക്സസ് ഇല്ലാതെ" എന്ന വിഭാഗത്തിൽ സഹായ പ്രവർത്തനങ്ങൾ മാത്രം ചെയ്യുന്ന പ്രോഗ്രാമുകൾ ഉൾപ്പെടുന്നു. അക്കൗണ്ടിനൊപ്പം പ്രവർത്തിക്കാനുള്ള കഴിവുള്ള ആപ്ലിക്കേഷനുകളിലും ഈ ഫംഗ്‌ഷനുകൾ ഉണ്ടായിരിക്കാം. പലപ്പോഴും, ഒരു മൊബൈൽ ആപ്ലിക്കേഷൻ ഒരു ലളിതമായ നാവിഗേഷൻ ആപ്ലിക്കേഷനിൽ നിന്ന് ഒരു അക്കൗണ്ട് ഉപയോഗിച്ച് പ്രവർത്തിക്കാനുള്ള കഴിവുള്ള ഒരു ആപ്ലിക്കേഷനായി പരിണമിക്കുന്നു. ചില ബാങ്കുകൾ, നേരെമറിച്ച്, നിരവധി ആപ്ലിക്കേഷനുകളിൽ ഈ ഫംഗ്‌ഷനുകൾ വിതരണം ചെയ്യാൻ താൽപ്പര്യപ്പെടുന്നു, ഇത് ഞങ്ങളുടെ കാഴ്ചപ്പാടിൽ ശരിയാണ്: ഒരു നിർണായക ആപ്ലിക്കേഷൻ (പേയ്‌മെന്റ് ഇടപാടുകൾ നടത്തുന്നു) അനാവശ്യമായ പ്രവർത്തനങ്ങളാൽ ഓവർലോഡ് ചെയ്യുന്നില്ലെങ്കിൽ, ലഭ്യമായ ആക്രമണ വെക്‌ടറുകളുടെ എണ്ണം ഒരു ആക്രമണകാരി കുറയുന്നു. ഈ പഠനം അക്കൗണ്ട് ആക്‌സസ് ആപ്ലിക്കേഷനുകൾ പരിശോധിച്ചു.

മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷ വിശകലനം ചെയ്യുന്നതിനുള്ള രീതി

ഒരു മൊബൈൽ ആപ്ലിക്കേഷന്റെ സുരക്ഷ വിശകലനം ചെയ്യുമ്പോൾ, മൂന്ന് പ്രധാന ഘടകങ്ങളുടെ സുരക്ഷ വിലയിരുത്തപ്പെടുന്നു: സെർവർ ഭാഗം, ക്ലയന്റ് ഭാഗം, ആശയവിനിമയ ചാനൽ.

ഒരു ക്ലയന്റ് ആപ്ലിക്കേഷന്റെ സുരക്ഷ വിലയിരുത്തുന്നതിനുള്ള രീതികൾ:

ചലനാത്മക വിശകലനം:
- പ്രവർത്തിക്കുന്ന ആപ്ലിക്കേഷൻ ഡീബഗ്ഗിംഗ് ചെയ്യുന്നു (ഒരു എമുലേറ്ററിലോ ഉപകരണത്തിലോ);
- ഫസിങ്ങ്;
- വിശകലനം നെറ്റ്‌വർക്ക് ട്രാഫിക്;
- ഫയൽ സിസ്റ്റവുമായുള്ള ഇടപെടലിന്റെ വിശകലനം;
- ആപ്ലിക്കേഷൻ മെമ്മറി വിശകലനം.
സ്റ്റാറ്റിക് വിശകലനം: സോഴ്സ് കോഡ് വിശകലനം (ലഭ്യമെങ്കിൽ);
- റിവേഴ്സ് എഞ്ചിനീയറിംഗ്;
- ഡിസ്അസംബ്ലിംഗ്;
- വിഘടിപ്പിക്കൽ;
- കോഡിന്റെ ദുർബലമായ വിഭാഗങ്ങൾക്കായുള്ള തത്ഫലമായുണ്ടാകുന്ന പ്രാതിനിധ്യത്തിന്റെ വിശകലനം.

ഇൻട്രൂഡർ മോഡലുകൾ

1. ക്ലയന്റിന്റെ ഉപകരണത്തിലേക്ക് ശാരീരിക ആക്‌സസ് ഉള്ള ഒരു ആക്രമണകാരി. എന്നിരുന്നാലും, ഉപകരണത്തിന് സ്‌ക്രീൻ ലോക്ക് പ്രവർത്തനക്ഷമമാക്കിയിട്ടില്ല കൂടാതെ എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്നില്ല.

2. ഉപകരണത്തിലേക്ക് ആക്‌സസ് ഇല്ലാത്ത ഒരു ആക്രമണകാരി, ഇരയുടെ അരികിൽ സ്ഥിതിചെയ്യുന്നു, കൂടാതെ ഒരു മനുഷ്യൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം നടത്താൻ കഴിവുള്ളവനുമാണ്.

3. ഔദ്യോഗിക ആപ്ലിക്കേഷൻ സ്റ്റോറുകളോ മറ്റ് രീതികളോ ഉപയോഗിച്ച് ക്ലയന്റിന്റെ ഉപകരണത്തിലേക്ക് തന്റെ ക്ഷുദ്രകരമായ ആപ്ലിക്കേഷൻ ഡൗൺലോഡ് ചെയ്ത ഒരു ആക്രമണകാരി.

ആക്രമിക്കുന്നു സെർവർ ഭാഗംആക്രമണങ്ങളിൽ നിന്ന് വ്യത്യസ്തമല്ല പരമ്പരാഗത സംവിധാനങ്ങൾഡി.ബി.ഒ.

ആക്രമിക്കുന്നു ക്ലയന്റ് ഭാഗംലഭ്യമെങ്കിൽ സാധ്യമാണ്:

ഉപകരണത്തിലേക്കുള്ള ശാരീരിക പ്രവേശനം;
ഉപകരണത്തിലെ ക്ഷുദ്ര ആപ്ലിക്കേഷൻ;
ചാനൽ നിയന്ത്രിക്കാനുള്ള കഴിവ്, ഉദാഹരണത്തിന്, ഒരു മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണത്തിന്റെ ഫലമായി.

ഫിസിക്കൽ ആക്സസ് ഉപയോഗിച്ച്, ഒരു ആക്രമണകാരിക്ക് ഫയൽ സിസ്റ്റത്തിലേക്ക് ആക്സസ് നേടാനാകും. ഒരു ആപ്ലിക്കേഷൻ പ്രാമാണീകരണ ഡാറ്റയോ മറ്റ് സെൻസിറ്റീവ് ഡാറ്റയോ ക്ലിയർ ടെക്‌സ്‌റ്റിൽ സംഭരിക്കുകയോ ക്ലിയർ ടെക്‌സ്‌റ്റിൽ നിർണ്ണായക ഡാറ്റ ചോർന്നാൽ, ആക്രമണകാരിക്ക് ഈ ഡാറ്റ നേടാനും പണം മോഷ്ടിക്കാനും എളുപ്പമാണ്.

സംരക്ഷണം:ഉപകരണത്തിന്റെ ക്രിപ്‌റ്റോഗ്രാഫിക് കഴിവുകൾ ഉപയോഗിക്കുക, നിർണായക ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുക, ആവശ്യമെങ്കിൽ ഡാറ്റ വിദൂരമായി മായ്‌ക്കാനുള്ള കഴിവ്, അതുപോലെ തന്നെ നിർണ്ണായക ഡാറ്റയുടെ ചോർച്ചയും എൻക്രിപ്ഷന്റെ തെറ്റായ ഉപയോഗവും തിരിച്ചറിയാൻ സഹായിക്കുന്ന ഒരു ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം നടത്തുക.

ക്ഷുദ്രകരമായ ആപ്ലിക്കേഷനിലൂടെ ആക്രമിക്കാൻ, സോഷ്യൽ എഞ്ചിനീയറിംഗ് ടെക്നിക്കുകൾ ഉപയോഗിച്ചോ ഡ്രൈവ്-ബൈ-ഡൗൺലോഡ് ആക്രമണത്തിലൂടെയോ നിങ്ങൾ ഒരു ക്ഷുദ്ര ആപ്ലിക്കേഷൻ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്.

സംരക്ഷണം:ഉപകരണത്തിലെ സോഫ്‌റ്റ്‌വെയർ അപ്‌ഡേറ്റ് ചെയ്യുക, സോഫ്റ്റ്‌വെയർ സുരക്ഷാ ഉപകരണങ്ങൾ ഉപയോഗിക്കുക, വിവര സുരക്ഷാ പ്രശ്‌നങ്ങളെക്കുറിച്ച് ഉപയോക്തൃ അവബോധം വർദ്ധിപ്പിക്കുക.

ആശയവിനിമയ ആക്രമണങ്ങൾ: ഒരു ക്ലാസിക് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം ക്ലയന്റ് ഉപകരണത്തിനും സെർവറിനും ഇടയിലുള്ള ഡാറ്റയെ തടസ്സപ്പെടുത്തുന്നു. ഇതിന് ഇരയുടെ അതേ നെറ്റ്‌വർക്കിൽ ആയിരിക്കേണ്ടതുണ്ട്, അതായത് ഒരു പൊതു വൈഫൈ നെറ്റ്‌വർക്ക് അല്ലെങ്കിൽ വ്യാജ വയർലെസ് ആക്‌സസ് പോയിന്റുകളും വ്യാജ ബേസ് സ്റ്റേഷനുകളും ഉപയോഗിക്കുക. മൊബൈൽ ആപ്ലിക്കേഷനിൽ ഒരു അപകടസാധ്യത ആവശ്യമാണ്: ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ എൻക്രിപ്ഷന്റെ തെറ്റായ പ്രവർത്തനം അല്ലെങ്കിൽ ഡാറ്റ എൻക്രിപ്ഷന്റെ പൂർണ്ണമായ അഭാവം. SSL ശരിയായി പ്രവർത്തിക്കുന്നില്ല എന്നതാണ് ഏറ്റവും സാധാരണമായ ഉദാഹരണം. തൽഫലമായി, ഒരു ആക്രമണകാരിക്ക് പ്രക്ഷേപണം ചെയ്ത ഡാറ്റ ചോർത്താനും മാറ്റിസ്ഥാപിക്കാനും കഴിയും, ഇത് ആത്യന്തികമായി ക്ലയന്റിന്റെ അക്കൗണ്ടിൽ നിന്ന് പണം മോഷ്ടിക്കപ്പെടുന്നതിലേക്ക് നയിച്ചേക്കാം.

സംരക്ഷണം: SSL-നൊപ്പം പ്രവർത്തിക്കുന്നതിന്റെ ശരിയായ നടപ്പാക്കൽ. മൊബൈൽ ആപ്ലിക്കേഷനിൽ, സെർവറിലേക്ക് കണക്‌റ്റ് ചെയ്യുമ്പോൾ, ബാങ്കിന്റെ SSL സർട്ടിഫിക്കറ്റ് മാത്രം നിങ്ങൾ വിശ്വസിക്കണമെന്നും ശുപാർശ ചെയ്യുന്നു. റൂട്ട് സർട്ടിഫിക്കറ്റ് അതോറിറ്റി വിട്ടുവീഴ്ച ചെയ്താൽ ഇത് സഹായിക്കും.

നിഗമനങ്ങൾ

പഠനം ആരംഭിക്കുന്നതിന് മുമ്പ്, മൊബൈൽ പ്ലാറ്റ്‌ഫോമിനായുള്ള നിർദ്ദിഷ്ട കേടുപാടുകളുടെ എണ്ണം പൊതുവായി അറിയപ്പെടുന്നവയുടെ എണ്ണത്തേക്കാൾ ഗണ്യമായി കവിയുമെന്ന് അനുമാനിക്കപ്പെട്ടു. എന്നാൽ ഫലമായി, രണ്ട് ക്ലാസുകളുടെയും ഏകദേശം ഒരേ എണ്ണം കേടുപാടുകൾ നിങ്ങൾക്ക് കാണാൻ കഴിയും. മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളിൽ അവയുടെ പ്രത്യേകതകളെക്കുറിച്ച് അറിവില്ലാതെ അറിയപ്പെടുന്ന ആക്രമണങ്ങൾ നടത്താൻ കഴിയുമെന്നാണ് ഇതിനർത്ഥം. ലഭിച്ച ഫലങ്ങൾ OWASP ടോപ്പ് 10 മൊബൈൽ റിസ്കുകളുമായി ഓവർലാപ്പ് ചെയ്യുന്നു.

മൊബൈൽ ബാങ്കിംഗ് ഉപയോഗിക്കുമ്പോഴുള്ള അപകടസാധ്യതകൾ ആപ്ലിക്കേഷന്റെ സുരക്ഷയ്ക്ക് വിപരീത അനുപാതത്തിലാണ്. അതിനാൽ, മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയെക്കുറിച്ച് സമഗ്രമായ ഓഡിറ്റ് ആവശ്യമാണ്. ഇന്റർനെറ്റ് ബാങ്കുകളുടെ സുരക്ഷയേക്കാൾ മൊബൈൽ ബാങ്കുകളുടെ സുരക്ഷയിൽ ബാങ്ക് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി സ്പെഷ്യലിസ്റ്റുകൾ ശ്രദ്ധിക്കണം.

സുരക്ഷാ പ്രശ്‌നങ്ങളെക്കുറിച്ച് പ്രോഗ്രാമർമാരെ ബോധവൽക്കരിക്കുക.
വാസ്തുവിദ്യയിൽ സുരക്ഷ കെട്ടിപ്പടുക്കുക.
കോഡ് ഓഡിറ്റുകൾ നടത്തുക.
ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം നടത്തുക.
സുരക്ഷയുമായി ബന്ധപ്പെട്ട കമ്പൈലർ ഓപ്ഷനുകൾ നടപ്പിലാക്കുക.
ഇന്റർനെറ്റിൽ ആപ്ലിക്കേഷന്റെ വിതരണം നിയന്ത്രിക്കുക.
കേടുപാടുകൾ വേഗത്തിൽ അടച്ച് അപ്‌ഡേറ്റുകൾ റിലീസ് ചെയ്യുക.

കഴിഞ്ഞ വർഷം ഗവേഷണ കേന്ദ്രം ഡിജിറ്റൽ സുരക്ഷഒരു റിപ്പോർട്ട് പുറത്തിറക്കി "ബാങ്ക് ക്ലയന്റുകളുടെ സുരക്ഷയെക്കുറിച്ചുള്ള ഒരു പഠനത്തിന്റെ ഫലങ്ങൾ റഷ്യൻ നിർമ്മാതാക്കൾ 2009-2011 കാലയളവിൽ”, വിദൂര ബാങ്കിംഗ് സംവിധാനങ്ങളെ വിശകലനം ചെയ്യുന്നതിലെ ഞങ്ങളുടെ അനുഭവവും അവയുടെ സുരക്ഷ വിലയിരുത്തുന്നതിന്റെ നിരാശാജനകമായ ഫലങ്ങളും ഞങ്ങൾ പങ്കിട്ടു.

ഞങ്ങൾ നിശ്ചലമായി നിൽക്കാതെ നാളെ ആവശ്യപ്പെടുന്നത് ഇന്ന് ചെയ്യാൻ ശ്രമിക്കുന്നു. മൊബൈൽ പ്ലാറ്റ്‌ഫോമുകൾക്കായി (Android, iOS) വികസിപ്പിച്ച ബാങ്ക് ക്ലയന്റുകൾക്കുള്ള ഭീഷണികൾ, കേടുപാടുകൾ, ആക്രമണ വെക്‌ടറുകൾ എന്നിവ ഈ പഠനം വിവരിക്കുന്നു.

മൊബൈൽ സാങ്കേതികവിദ്യകൾ സജീവമായി വികസിച്ചുകൊണ്ടിരിക്കുന്നു; ആധുനിക ബിസിനസ്സ് ആവശ്യകതകൾ, വിവരങ്ങൾ വേഗത്തിലും വിശ്വസനീയമായും ലോകത്തെവിടെനിന്നും ആക്സസ് ചെയ്യപ്പെടണം. പേയ്‌മെന്റ് ആപ്പുകൾ ഒരു അപവാദമല്ല, അവ ക്രമേണ ഞങ്ങളുടെ മൊബൈൽ ഉപകരണങ്ങളിൽ (സ്‌മാർട്ട്‌ഫോണുകൾ, ടാബ്‌ലെറ്റുകൾ മുതലായവ) ദൃശ്യമാകുന്നു. മൊബൈൽ ഉപകരണങ്ങൾ ഇതുവരെ വേണ്ടത്ര പഠിച്ചിട്ടില്ല, കൂടാതെ ഓരോ മൊബൈൽ ഒഎസിനും (Android, iOS, Windows Phone, Symbian, BlackBerry, മുതലായവ) അതിന്റേതായ പ്രത്യേകതകൾ ഉണ്ട്, അതിനാൽ അവയിൽ ഓരോന്നിലും നിങ്ങൾക്ക് പുതിയതും മികച്ചതുമായ ഒരു വലിയ സംഖ്യ കണ്ടെത്താൻ കഴിയും- അറിയപ്പെടുന്ന കേടുപാടുകൾ.

ഇനിപ്പറയുന്നതുപോലുള്ള ബാങ്കുകൾക്കായുള്ള മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ:

ആൽഫ ബാങ്ക്,

ബാങ്ക് "സെന്റ് പീറ്റേഴ്‌സ്ബർഗ്" ബാങ്ക് "ബാൾട്ടിക", Bank24.ru,

BFA ബാങ്ക്,

VTB, VTB 24, Gazprombank, Investbank, Kraiinvestbank,

മാസ്റ്റർ ബാങ്ക്,

എംഡിഎം ബാങ്ക്,

മോസ്കോ ഇൻഡസ്ട്രിയൽ ബാങ്ക്,

മോസ്കോ ക്രെഡിറ്റ് ബാങ്ക്, മൊർഡോവ്പ്രോംസ്ട്രോയ്ബാങ്ക്,

MTS-ബാങ്ക്,

ജനങ്ങളുടെ ക്രെഡിറ്റ്

നോമോസ്-ബാങ്ക്,

പെർവോബാങ്ക്,

പ്രിംസോട്സ് ബാങ്ക്,

പ്രോംസ്വ്യാസ്ബാങ്ക്,

RosEvroBank,

റോസ് ഇന്റർ ബാങ്ക്,

റഷ്യൻ നിലവാരം,

സ്ബെർബാങ്ക്,

സ്വ്യാസ്-ബാങ്ക്,

സ്മോലെൻസ്കി ബാങ്ക്,

ടിങ്കോഫ് ക്രെഡിറ്റ് സിസ്റ്റംസ്, യുബിആർഡി,

ലൈഫ് ഫിനാൻഷ്യൽ ഗ്രൂപ്പ്,

ഖാന്തി-മാൻസിസ്‌ക് ബാങ്ക്, യൂണിക്രെഡിറ്റ് ബാങ്ക്

മറ്റുള്ളവരും.

iOS-നുള്ള മൊബൈൽ ബാങ്കിംഗ് ആപ്പുകൾ

വളരെ കുറച്ച് മൊബൈൽ ബാങ്കുകൾ മാത്രമാണ് സുരക്ഷാ സംവിധാനങ്ങൾ നടപ്പിലാക്കുന്നത്. അവലോകനം ചെയ്‌ത എല്ലാ ആപ്ലിക്കേഷനുകളിലും ഒരു അപകടസാധ്യതയെങ്കിലും അടങ്ങിയിരിക്കുന്നു.

മിക്ക iOS ആപ്ലിക്കേഷനുകളും മെമ്മറി തെറ്റായി കൈകാര്യം ചെയ്യുന്നതുമായി ബന്ധപ്പെട്ട പിശകുകൾ ചൂഷണം ചെയ്യുന്നതിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് രൂപകൽപ്പന ചെയ്ത കംപൈലേഷൻ ഓപ്ഷനുകൾ ഉപയോഗിക്കുന്നില്ല.

ആൻഡ്രോയിഡിനുള്ള മൊബൈൽ ബാങ്കിംഗ് ആപ്പുകൾ

ലഭിച്ച ഫലങ്ങളെ അടിസ്ഥാനമാക്കി, ഏറ്റവും കുറഞ്ഞ ഭീഷണികളുള്ള iOS, Android എന്നിവയ്‌ക്കായുള്ള മികച്ച 10 മൊബൈൽ ബാങ്കുകൾ ഞങ്ങൾ സമാഹരിച്ചിരിക്കുന്നു. റേറ്റിംഗ് കംപൈൽ ചെയ്യുമ്പോൾ, ഒരു പ്രൊട്ടക്റ്റീവ് മെക്കാനിസമോ ഒരു നിശ്ചിത ക്ലാസിന്റെ സുരക്ഷിതമല്ലാത്ത എപിഐയുടെ അഭാവമോ ഉണ്ടെങ്കിൽ ഒരു പ്രോഗ്രാമിന് 1 പോയിന്റ് നൽകുകയും വിപരീത സാഹചര്യത്തിൽ 1 പോയിന്റ് കുറയ്ക്കുകയും ചെയ്തു. രണ്ട് റേറ്റിംഗുകളിലും 4 ബാങ്കുകളെ ഉൾപ്പെടുത്തിയിട്ടുണ്ട് എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്.

iOS-നുള്ള മികച്ച 10

ആൻഡ്രോയിഡിനുള്ള മികച്ച 10 എണ്ണം

മാസ്റ്റർ ബാങ്ക്

ബാങ്ക് "സെന്റ് പീറ്റേഴ്സ്ബർഗ്"

ലൈഫ് ഫിനാൻഷ്യൽ ഗ്രൂപ്പ്

RosEvroBank

ക്രെഡിറ്റ് ബാങ്ക് ഓഫ് മോസ്കോ

ബാങ്ക് "പീപ്പിൾസ് ക്രെഡിറ്റ്"

പ്രിംസോട്സ്ബാങ്ക്

സ്ബെർബാങ്ക്

റഷ്യൻ സ്റ്റാൻഡേർഡ് ബാങ്ക്"

ബാങ്ക് "സെന്റ് പീറ്റേഴ്സ്ബർഗ്"

ഇൻവെസ്റ്റ് ബാങ്ക്

OS ആൻഡ്രോയിഡ്, iOS എന്നിവയാണ് ഇന്ന് ഏറ്റവും സാധാരണമായത് കൂടാതെ അവരുടെ സ്റ്റോറുകളിൽ ഏറ്റവും കൂടുതൽ മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ ഉണ്ട് (യഥാക്രമം Google Play, App Store).

വിൻഡോസ് ഫോൺ ഒഎസ് വളരെ ചെറുപ്പമാണ്, ഇതുവരെ ഉപയോക്താക്കൾക്കിടയിൽ അത്ര വ്യാപകമല്ല, പക്ഷേ ഇതിന് ഇതിനകം തന്നെ അതിന്റെ സ്റ്റോറിൽ (വിൻഡോസ് സ്റ്റോർ) ഒരു ചെറിയ എണ്ണം മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ ഉണ്ട്. Windows Phone OS-നുള്ള ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകൾ ഈ പഠനത്തിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല, കാരണം അവയുടെ എണ്ണം ഇപ്പോൾ വളരെ കുറവാണ് (Windows സ്റ്റോറിൽ അവയിൽ 9 എണ്ണം മാത്രമേയുള്ളൂ). സാധാരണ വിൻഡോസ് 8 ഒഎസിനും മൊബൈൽ ഒഎസിനുമുള്ള ആപ്ലിക്കേഷനുകൾ ഒരേസമയം വികസിപ്പിക്കാൻ അനുവദിക്കുന്ന (എളുപ്പമുള്ള പോർട്ടിംഗിന് നന്ദി) ഒരു പുതിയ വികസന മോഡൽ ഉൾക്കൊള്ളുന്ന വിൻഡോസ് ഫോൺ 8 ന്റെ വരവ് കണക്കിലെടുക്കുമ്പോൾ, വികസനത്തിന്റെ ജനപ്രീതിയിൽ വർദ്ധനവ് പ്രതീക്ഷിക്കാം. വിൻഡോസ് ഫോൺ 8.

മൊബൈൽ ഉപകരണങ്ങൾക്കായുള്ള ആപ്ലിക്കേഷനുകളെ പല മാനദണ്ഡങ്ങൾക്കനുസൃതമായി തരംതിരിക്കാം, എന്നാൽ ആപ്ലിക്കേഷൻ സുരക്ഷയുടെ പശ്ചാത്തലത്തിൽ ഇനിപ്പറയുന്നവയിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ട്: ആപ്ലിക്കേഷന്റെ സ്ഥാനവും ഉപയോഗിച്ച ഡാറ്റാ ട്രാൻസ്ഫർ സാങ്കേതികവിദ്യയും അനുസരിച്ച്.

അപേക്ഷയുടെ സ്ഥാനം അനുസരിച്ച്:

സിം ആപ്ലിക്കേഷനുകൾ - ഒരു സിം കാർഡിലെ ഒരു ആപ്ലിക്കേഷൻ, സിം ആപ്ലിക്കേഷൻ ടൂൾകിറ്റ് (എസ്ടികെ) സ്റ്റാൻഡേർഡിന് അനുസൃതമായി എഴുതിയിരിക്കുന്നു;

വെബ് ആപ്ലിക്കേഷനുകൾ - ഒരു വെബ്സൈറ്റിന്റെ പ്രത്യേക പതിപ്പ്;

ഒരു സ്‌മാർട്ട്‌ഫോണിൽ ഇൻസ്‌റ്റാൾ ചെയ്‌തിരിക്കുന്ന ഒരു പ്രത്യേക എപിഐ ഉപയോഗിച്ച് ഒരു നിർദ്ദിഷ്‌ട മൊബൈൽ ഒഎസിനായി വികസിപ്പിച്ച ഒരു ആപ്ലിക്കേഷനാണ് മൊബൈൽ ആപ്ലിക്കേഷനുകൾ.

സെർവറുമായി സംവദിക്കാൻ ഉപയോഗിക്കുന്ന സാങ്കേതികവിദ്യയുടെ തരം അനുസരിച്ച്:

നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകൾ - HTTP പോലുള്ള TCP/IP വഴി സ്വന്തം ആശയവിനിമയ പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുക;

SMS ആപ്ലിക്കേഷനുകൾ - SMS അടിസ്ഥാനമാക്കിയുള്ള ഒരു ആപ്ലിക്കേഷൻ (ഹ്രസ്വ സന്ദേശമയയ്‌ക്കൽ സേവനം). ചെറിയ വാചക സന്ദേശങ്ങൾ ഉപയോഗിച്ച് ആപ്ലിക്കേഷൻ സെർവറുമായി വിവരങ്ങൾ കൈമാറുന്നു;

USSD ആപ്ലിക്കേഷനുകൾ - USSD (Unstructured Supplementary Service Data) അടിസ്ഥാനമാക്കിയുള്ള ഒരു ആപ്ലിക്കേഷൻ. എസ്എംഎസ് പോലെയുള്ള ഹ്രസ്വ സന്ദേശങ്ങളുടെ പ്രക്ഷേപണത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഈ സേവനം, എന്നാൽ നിരവധി വ്യത്യാസങ്ങളുണ്ട്;

ഐവിആർ (ഇന്ററാക്ടീവ് വോയ്സ് റെസ്‌പോൺസ്) സാങ്കേതികവിദ്യയെ അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകളാണ് ഐവിആർ ആപ്ലിക്കേഷനുകൾ. മുൻകൂട്ടി റെക്കോർഡ് ചെയ്‌ത വോയ്‌സ് സന്ദേശങ്ങളും ടോൺ ഡയലിംഗും അടിസ്ഥാനമാക്കിയുള്ളതാണ് സിസ്റ്റം.

മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ തരങ്ങൾ

ഈ പഠനം അക്കൗണ്ട് ആക്‌സസ് ആപ്ലിക്കേഷനുകൾ പരിശോധിച്ചു.

ഒരു ക്ലയന്റ് ആപ്ലിക്കേഷന്റെ സുരക്ഷ വിലയിരുത്തുന്നതിനുള്ള രീതികൾ:

1. ചലനാത്മക വിശകലനം:

· പ്രവർത്തിക്കുന്ന ആപ്ലിക്കേഷൻ ഡീബഗ്ഗിംഗ് (ഒരു എമുലേറ്ററിലോ ഉപകരണത്തിലോ);

ഫസിങ്ങ്;
നെറ്റ്‌വർക്ക് ട്രാഫിക് വിശകലനം;

ഫയൽ സിസ്റ്റവുമായുള്ള ഇടപെടലിന്റെ വിശകലനം;

ആപ്ലിക്കേഷൻ മെമ്മറി വിശകലനം.

2. സ്റ്റാറ്റിക് വിശകലനം:

· സോഴ്സ് കോഡ് വിശകലനം (ലഭ്യമെങ്കിൽ); റിവേഴ്സ് എഞ്ചിനീയറിംഗ്:

ഒ ഡിസ്അസംബ്ലിംഗ്;

o വിഘടിപ്പിക്കൽ;

· കോഡിന്റെ ദുർബല വിഭാഗങ്ങൾക്കായി സ്വീകരിച്ച പ്രാതിനിധ്യത്തിന്റെ വിശകലനം.

സെർവർ ഭാഗത്ത് ആക്രമണംറിപ്പോർട്ടിൽ ചർച്ച ചെയ്ത പരമ്പരാഗത റിമോട്ട് ബാങ്കിംഗ് സംവിധാനങ്ങൾക്കെതിരായ ആക്രമണങ്ങളിൽ നിന്ന് വ്യത്യസ്തമല്ല ഡിജിറ്റൽ സുരക്ഷ"2009-2011 കാലയളവിൽ റഷ്യൻ നിർമ്മാതാക്കളുടെ ബാങ്ക് ക്ലയന്റുകളുടെ സുരക്ഷയെക്കുറിച്ചുള്ള ഒരു പഠനത്തിന്റെ ഫലങ്ങൾ."

iOS മൊബൈൽ ആണ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റംആപ്പിളിൽ നിന്ന്. ഈ ഓപ്പറേറ്റിംഗ് സിസ്റ്റം Apple-ൽ നിന്നുള്ള ഉപകരണങ്ങൾക്കായി മാത്രം ഉദ്ദേശിച്ചിട്ടുള്ളതാണ്: iPod, iPhone, iPad, Apple TV. iOS Mac OS X അടിസ്ഥാനമാക്കിയുള്ളതാണ്. ഈ പ്ലാറ്റ്‌ഫോമിനായി ആപ്ലിക്കേഷനുകൾ വിതരണം ചെയ്യുന്നതിന്, ഒരു പ്രത്യേക സ്റ്റോർ ഉപയോഗിക്കുന്നു - ആപ്പ് സ്റ്റോർ.

വികസനത്തിനായി, ഒബ്ജക്റ്റീവ്-സി ഭാഷ ഉപയോഗിക്കുന്നു, ഇത് സമാഹരിച്ച ഒബ്ജക്റ്റ് ഓറിയന്റഡ് പ്രോഗ്രാമിംഗ് ഭാഷയാണ്. ഒബ്ജക്റ്റീവ്-സി നിർമ്മിച്ചിരിക്കുന്നത് സി പ്രോഗ്രാമിംഗ് ഭാഷയിലും സ്മോൾടോക്ക് പ്രോഗ്രാമിംഗ് ഭാഷാ മാതൃകകളിലും ആണ്.

iOS-നുള്ള അക്കൗണ്ട് ആക്‌സസ് ഉള്ള റഷ്യൻ ബാങ്കുകൾക്കായുള്ള മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷൻ ഡെവലപ്പർമാരുടെ സ്ഥിതിവിവരക്കണക്കുകൾ

iOS-നുള്ള ബാങ്കിംഗ് മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ രൂപരേഖ

ഈ വിവരങ്ങളെ അടിസ്ഥാനമാക്കി, അപ്‌ഡേറ്റുകളുടെ ആവൃത്തിയെയും ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയെയും കുറിച്ച് നിഗമനങ്ങളിൽ എത്തിച്ചേരാനാകും. അങ്ങനെ, SDK 4.3 TLS 1.0 പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നു, ഇത് 29 തരം എൻക്രിപ്ഷനെ പിന്തുണയ്ക്കുന്നു, അതിൽ 5 എണ്ണം ദുർബലമാണ്. SDK-യുടെ ഈ പതിപ്പ് ഉപയോഗിക്കുന്ന അപ്ലിക്കേഷനുകൾ അപഹരിക്കപ്പെടാൻ സാധ്യതയുണ്ട്.

SDK-യുടെ തുടർന്നുള്ള പതിപ്പുകളിൽ നിന്ന് ഈ എൻക്രിപ്ഷൻ തരങ്ങൾ നീക്കം ചെയ്തു.

PIE കംപൈലേഷൻ ഓപ്ഷൻ

PIE (പൊസിഷൻ ഇൻഡിപെൻഡന്റ് എക്സിക്യൂട്ടബിൾ) എന്നത് ഒരു കംപൈലേഷൻ പാരാമീറ്റർ ഉപയോഗിച്ച് സജ്ജീകരിച്ചിരിക്കുന്ന ഒരു പ്രത്യേക സംവിധാനമാണ്, കൂടാതെ മെമ്മറിയുമായുള്ള തെറ്റായ പ്രവർത്തനവുമായി ബന്ധപ്പെട്ട പിശകുകൾ ചൂഷണം ചെയ്യുന്ന പ്രക്രിയ സങ്കീർണ്ണമാക്കുന്നതിന് ലക്ഷ്യമിട്ടുള്ള സുരക്ഷാ പാരാമീറ്ററുകളുടെ ഒരു വിഭാഗത്തിൽ പെടുന്നു. ASLR (വിലാസ സ്‌പേസ് ലേഔട്ട് റാൻഡമൈസേഷൻ) പൂർണ്ണമായി പ്രയോജനപ്പെടുത്താൻ നിങ്ങളെ അനുവദിക്കുന്നു.

ARC (ഓട്ടോമാറ്റിക് റഫറൻസ് കൗണ്ടിംഗ്) എന്നത് ഒരു കംപൈലേഷൻ ഓപ്‌ഷൻ മുഖേന വ്യക്തമാക്കിയിട്ടുള്ളതും പരോക്ഷമായി ഒരു സുരക്ഷാ പരാമീറ്ററായി വർഗ്ഗീകരിക്കാവുന്നതുമായ ഒരു പ്രത്യേക സംവിധാനമാണ്. മെമ്മറി മാനേജ്‌മെന്റ് ശ്രദ്ധിക്കുന്നു, കൂടാതെ മെമ്മറി ലീക്കുകളും പോയിന്ററുകൾ തെറ്റായി കൈകാര്യം ചെയ്യുന്നതുമായി ബന്ധപ്പെട്ട പിശകുകൾ ഒഴിവാക്കാൻ സഹായിക്കുന്നു, ഇത് ഉപയോഗത്തിന് ശേഷമുള്ള സൗജന്യവും ഇരട്ട സ്വതന്ത്രവുമായ കേടുപാടുകൾക്ക് കാരണമാകുന്നു.

തെറ്റായ ജോലിഎസ്എസ്എൽ ഉപയോഗിച്ച്

ഒരു SSL കണക്ഷനുമായി പ്രവർത്തിക്കുന്നതിന് നിരവധി ഫംഗ്ഷനുകൾ ഉണ്ട്, ഇതിന്റെ ഉപയോഗം സർട്ടിഫിക്കറ്റ് പരിശോധന പ്രവർത്തനരഹിതമാക്കുന്നു. ആപ്ലിക്കേഷൻ ടെസ്റ്റിംഗ് സമയത്ത് ഡെവലപ്പർമാർ അവ ഉപയോഗിക്കുകയും ആപ്പ് സ്റ്റോറിൽ ആപ്ലിക്കേഷൻ പ്രസിദ്ധീകരിക്കുന്നതിന് മുമ്പ് അനുബന്ധ കോഡ് നീക്കം ചെയ്യാൻ മറക്കുകയും ചെയ്യുന്നു. തൽഫലമായി, ഒരു ആക്രമണകാരിക്ക് ഒരു മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം നടത്താൻ കഴിയും, ക്ലയന്റും സെർവറും തമ്മിലുള്ള ഡാറ്റ ചോർത്തുകയും സ്വന്തം ആവശ്യങ്ങൾക്കായി അത് കൈകാര്യം ചെയ്യുകയും ചെയ്യുന്നു. ഉദാഹരണത്തിന്, അയാൾക്ക് പേയ്മെന്റ് മാറ്റിസ്ഥാപിക്കാനോ ഡാറ്റ കൈമാറാനോ കഴിയും.

നിർണായക ആപ്ലിക്കേഷൻ വിവരങ്ങൾ സംഭരിക്കുന്നതിന് രൂപകൽപ്പന ചെയ്ത ഒരു പ്രത്യേക എൻക്രിപ്റ്റ് ചെയ്ത സംഭരണമാണ് iOS-ലെ കീചെയിൻ.

ഒരു കീചെയിനിന്റെ അഭാവം ആപ്ലിക്കേഷൻ അതിന്റെ ഡാറ്റ വ്യക്തമായ വാചകത്തിൽ സംഭരിക്കുന്നു എന്നല്ല അർത്ഥമാക്കുന്നത്. ആപ്ലിക്കേഷൻ ക്ലയന്റ് ഉപകരണത്തിൽ നിർണ്ണായകമായ ഡാറ്റ സംഭരിക്കുകയോ സ്റ്റാൻഡേർഡ് അല്ലെങ്കിൽ ഇഷ്‌ടാനുസൃതം ഉപയോഗിച്ച് അതിന്റെ പ്രാദേശിക ഫയലുകളിൽ സംഭരിക്കുകയോ ചെയ്തേക്കില്ല നേറ്റീവ് പ്രവർത്തനങ്ങൾഎൻക്രിപ്ഷൻ.

ഒരു ഉപകരണം ജയിൽ ബ്രേക്ക് ചെയ്‌ത ശേഷം, കീചെയിനിൽ നിന്നുള്ള ഡാറ്റ വ്യക്തമായ വാചകത്തിൽ വായിക്കാനാകും. നിർണായക വിവരങ്ങളുടെ സംഭരണമായി ഒരു പ്രാദേശിക ഫയൽ ഉപയോഗിക്കുന്നുവെങ്കിൽ, അത് ഒരു ആക്രമണകാരിക്ക് വിദൂരമായി വായിക്കാൻ കഴിയും. ഉപകരണത്തിൽ സെൻസിറ്റീവ് വിവരങ്ങളൊന്നും സൂക്ഷിക്കാതിരിക്കുക എന്നതാണ് ഏറ്റവും നല്ല പരിഹാരം. നിർഭാഗ്യവശാൽ, ഇത് എല്ലായ്പ്പോഴും സാധ്യമല്ല.

XXE (XML എക്‌സ്‌റ്റേണൽ എന്റിറ്റി) എന്നത് ഒരു ആക്രമണകാരിക്ക് എക്‌സ്‌എംഎൽ അഭ്യർത്ഥനയിൽ ബാഹ്യമോ ആന്തരികമോ ആയ എന്റിറ്റികൾ ഉൾച്ചേർക്കാൻ കഴിയുന്ന ഒരു ആക്രമണമാണ്, അവ സിസ്റ്റം അതനുസരിച്ച് പ്രോസസ്സ് ചെയ്യും.

ആക്രമണത്തിന്റെ ഫലമായി, ഉപകരണത്തിന് ജയിൽ ബ്രേക്ക് ഇല്ലെങ്കിൽ, ആക്രമണകാരിക്ക് ആപ്ലിക്കേഷൻ ഡയറക്‌ടറിയിലെ അനിയന്ത്രിതമായ ഫയലുകളും ഉപകരണത്തിന് ജയിൽ ബ്രേക്ക് ഉണ്ടെങ്കിൽ ഏതെങ്കിലും ഫയലുകളും വായിക്കാൻ കഴിയും (ജയിൽബ്രേക്ക് സംഭവിച്ചാൽ, സാൻഡ്‌ബോക്‌സ് സംവിധാനം പ്രവർത്തനരഹിതമാണ്). ഇതിനർത്ഥം ഏതെങ്കിലും സെൻസിറ്റീവ് ആപ്ലിക്കേഷൻ ഫയലുകൾ വായിക്കാൻ കഴിയും എന്നാണ്. കൂടാതെ, ഒരു ആക്രമണകാരിക്ക് സേവനത്തിന്റെ അപേക്ഷ നിരസിക്കുന്നതിനുള്ള കഴിവുണ്ട്.

സ്വഭാവം

അളവ്

XXE-ന് സാധ്യതയുള്ളതാണ്

XXE യുടെ അഭാവം

ഫയൽ സിസ്റ്റത്തിൽ പ്രവർത്തിക്കാൻ ചില ആപ്ലിക്കേഷനുകൾ ഫംഗ്ഷനുകൾ ഉപയോഗിക്കുന്നു. സെർവറിൽ നിന്ന് ലഭിച്ച ഡാറ്റ വേണ്ടത്ര ഫിൽട്ടർ ചെയ്യപ്പെടാതെ ഈ തരത്തിലുള്ള ഫംഗ്‌ഷനിലേക്ക് പ്രവേശിക്കുകയാണെങ്കിൽ, യഥാർത്ഥ പ്രവർത്തനം നൽകിയിട്ടില്ലാത്ത ഒരു ഫയലിലേക്ക് ആക്രമണകാരിക്ക് ആക്‌സസ് നേടാനാകും.

സ്വഭാവം

അളവ്

ഡയറക്‌ടറി ട്രാവെർസലിന് സാധ്യതയുള്ളതാണ്

ഡയറക്‌ടറി ട്രാവേഴ്‌സൽ കേടുപാടുകൾ ഒന്നുമില്ല

പൊതു സിസ്റ്റം ലോഗിലേക്ക് ഡീബഗ്ഗിംഗ് വിവരങ്ങൾ എഴുതാൻ NSLlog ഫംഗ്ഷൻ ഉപയോഗിക്കുന്നു. ഏതൊരു ആപ്ലിക്കേഷനും ഈ ലോഗിൽ നിന്ന് ഡാറ്റ വായിക്കാനും എഴുതാനും കഴിയും.

സ്റ്റോറിൽ ഒരു ആപ്ലിക്കേഷൻ പ്രസിദ്ധീകരിക്കുന്നതിന് മുമ്പ്, നിങ്ങൾ ഈ ഫംഗ്ഷൻ ഉപയോഗിക്കാൻ വിസമ്മതിക്കണം: മൊബൈൽ ആപ്ലിക്കേഷനുകൾ ഗവേഷണം ചെയ്യുന്നതിലെ ഞങ്ങളുടെ അനുഭവം കാണിക്കുന്നത് പോലെ, പലപ്പോഴും നിർണായകമായ വിവരങ്ങൾ ലോഗിൽ പ്രവേശിക്കുന്നു, അതിലേക്കുള്ള ആക്സസ് ഉപയോക്താവിന്റെ ബാങ്കിംഗ് ഡാറ്റയെ പൂർണ്ണമായും ഭാഗികമായോ വിട്ടുവീഴ്ച ചെയ്യാം. കൂടാതെ, ഈ പ്രവർത്തനംതെറ്റായി ഉപയോഗിച്ചാൽ, അത് ഒരു ഫോർമാറ്റ് സ്ട്രിംഗ് ആക്രമണത്തിന് വിധേയമാണ്.

സ്വഭാവം

അളവ്

ഉപയോഗിക്കുക

ഉപയോഗിക്കരുത്

ഒരു മൊബൈൽ ബാങ്ക് ക്ലയന്റുമായി പ്രവർത്തിക്കുമ്പോൾ, പലപ്പോഴും നിങ്ങൾ നിർണായകവും വ്യക്തിഗതവുമായ വിവരങ്ങൾ നൽകേണ്ടതുണ്ട്, വിട്ടുവീഴ്ച ചെയ്യുകയാണെങ്കിൽ, ഒരു ആക്രമണകാരി അതിന്റെ ഉടമയ്ക്ക് ഏതെങ്കിലും തരത്തിലുള്ള ദോഷം വരുത്തും. ആപ്ലിക്കേഷൻ ഫീൽഡുകളിൽ ഉപയോക്താവ് നൽകിയ ഡാറ്റയുടെ (ലോഗിൻ, പാസ്‌വേഡ്, പിൻ, അക്കൗണ്ട് നമ്പർ മുതലായവ) സുരക്ഷ വിലയിരുത്തുന്നതിനാണ് ചുവടെ വിവരിച്ചിരിക്കുന്ന പരിശോധനകൾ ലക്ഷ്യമിടുന്നത്. ഒരു iOS ആപ്ലിക്കേഷനിൽ, സ്‌ക്രീൻഷോട്ടുകൾ, സ്വയമേവ തിരുത്തൽ പ്രവർത്തനം അല്ലെങ്കിൽ പേസ്റ്റ്ബോർഡ് എന്നിവയിലൂടെ നൽകിയ നിർണായക വിവരങ്ങളുടെ ചോർച്ച സാധ്യമാണ്.

സ്വഭാവം

സ്ക്രീൻഷോട്ടുകൾ

സ്വയമേവ തിരുത്തൽ

സുരക്ഷിതമായ ഉപയോഗം

സുരക്ഷിതമല്ലാത്ത ഉപയോഗം

നിങ്ങൾ iOS-ൽ ഒരു ആപ്പ് ചെറുതാക്കുമ്പോൾ, അത് ഒരു സ്ക്രീൻഷോട്ട് എടുത്ത് അടുത്ത തവണ നിങ്ങൾ അത് തുറക്കുന്നത് വരെ അത് സംരക്ഷിക്കും. സൃഷ്‌ടിച്ച സ്‌ക്രീൻഷോട്ടിൽ നിർണായക വിവരങ്ങൾ അടങ്ങിയിരിക്കാം, അത് ആക്രമണകാരിക്ക് പുനഃസ്ഥാപിക്കാനാകും.

ഡാറ്റ നൽകുമ്പോൾ, ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിന് ഏറ്റവും ശരിയായ ഇൻപുട്ട് ഓപ്ഷനായി ഉപയോക്താവിനെ പ്രേരിപ്പിക്കാൻ കഴിയും. പുരോഗതിയിൽ ഈ സംവിധാനംഅതിന്റെ പദ അടിത്തറ വർദ്ധിപ്പിക്കാൻ കഴിയും. അതിനാൽ, ഉപകരണത്തിൽ സൂക്ഷിക്കാൻ പാടില്ലാത്ത രഹസ്യ ഡാറ്റയും ഡാറ്റാബേസിൽ അവസാനിച്ചേക്കാം. നിലവിൽ, പാസ്‌വേഡ് എൻട്രി ഫീൽഡുകൾക്ക് സ്വയമേവ തിരുത്തൽ അപ്രാപ്‌തമാക്കിയിരിക്കുന്നു, എന്നാൽ മറ്റ് നിർണായക വിവരങ്ങളുള്ള ഫീൽഡുകൾക്ക്, സ്വയം തിരുത്തൽ പ്രോഗ്രമാറ്റിക്കായി അപ്രാപ്‌തമാക്കിയിരിക്കണം.

ക്ലിപ്പ്ബോർഡ് നടപ്പിലാക്കുന്ന ഒരു ഫംഗ്ഷൻ. ഒരു സ്റ്റാൻഡേർഡ് പേസ്റ്റ്ബോർഡ് ഉപയോഗിക്കുമ്പോൾ, മറ്റ് ആപ്ലിക്കേഷനുകൾക്ക് ക്ലിപ്പ്ബോർഡിലേക്ക് ആക്സസ് നേടാനാകും, അതായത് നിർണായക ഡാറ്റ ചോർന്നേക്കാം.

വിശകലനത്തിനിടയിൽ, ആപ്ലിക്കേഷനുകൾക്കുള്ളിൽ ധാരാളം ഡീബഗ്ഗിംഗ് വിവരങ്ങൾ കണ്ടെത്തി, ആപ്ലിക്കേഷൻ ഡവലപ്പറുടെ ആന്തരിക ഇൻഫ്രാസ്ട്രക്ചറിനെക്കുറിച്ച് ഒരു ആശയം നേടാൻ ഞങ്ങളെ അനുവദിക്കുന്നു; ഫയലുകൾ ആന്തരിക ഉപയോഗം, ഡെവലപ്പർമാരിൽ നിന്നുള്ള കത്തിടപാടുകൾ സംഭരിക്കുന്നു, ഒരു പ്രത്യേക പിശക് അടയ്ക്കുന്നതിന്റെ അല്ലെങ്കിൽ ഒരു പുതിയ പ്രവർത്തനം നടപ്പിലാക്കുന്നതിന്റെ നിലയെക്കുറിച്ചുള്ള കുറിപ്പുകൾ.

റിലീസിന് മുമ്പ് ആവശ്യമാണ് പുതിയ പതിപ്പ്ആപ്പ് സ്റ്റോറിലെ ആപ്ലിക്കേഷനുകൾ, സെൻസിറ്റീവ് വിവരങ്ങൾക്കായി ലഭിച്ച ആപ്ലിക്കേഷൻ ശ്രദ്ധാപൂർവ്വം അവലോകനം ചെയ്യുക.

പഠിച്ച എല്ലാ ആപ്ലിക്കേഷനുകളിലും:

ആരും ആന്റി-ഡീബഗ്ഗിംഗ് ടെക്നിക്കുകൾ ഉപയോഗിച്ചില്ല;

ആരും കോഡ് അവ്യക്തമാക്കൽ വിദ്യകൾ ഉപയോഗിച്ചില്ല;

രണ്ട് ആപ്ലിക്കേഷനുകൾ ഉപകരണത്തിൽ ഒരു ജയിൽ ബ്രേക്ക് സാന്നിധ്യം കണ്ടെത്തി.

ഒബ്ജക്റ്റീവ്-സിയിലെ കോഡ് എക്സിക്യൂഷൻ മോഡലിന്റെ പ്രത്യേകതകൾ കാരണം, സോഴ്സ് കോഡ് ഇല്ലാതെ പോലും, ഉപയോഗിച്ച ക്ലാസുകളുടെയും അവയുടെ രീതികളുടെയും ഉദ്ദേശ്യത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ പുനഃസ്ഥാപിക്കുന്നത് എളുപ്പമാണ്, ഇത് പ്രോഗ്രാമിന്റെ പ്രവർത്തനം പുനഃസ്ഥാപിക്കുന്നതും തിരയുന്നതുമായ പ്രക്രിയയെ വളരെ ലളിതമാക്കുന്നു. അതിലെ പരാധീനതകൾക്ക്.

ഒരു ജയിൽ ബ്രേക്ക് ഇൻസ്റ്റാൾ ചെയ്ത ഒരു ഉപകരണം വിവിധ സുരക്ഷാ ഭീഷണികൾക്ക് വളരെ വിധേയമാണ്. ജയിൽ ബ്രേക്ക് സമയത്ത് മിക്ക സുരക്ഷാ സംവിധാനങ്ങളും പ്രവർത്തനരഹിതമായതാണ് ഇതിന് കാരണം. ചട്ടം പോലെ, ജയിൽ ബ്രേക്കുകൾ കണ്ടെത്തുന്ന ആപ്ലിക്കേഷനുകൾ ഒന്നുകിൽ അത്തരം ഒരു ഉപകരണത്തിൽ പ്രവർത്തിക്കാൻ വിസമ്മതിക്കുന്നു അല്ലെങ്കിൽ പരിമിതമായ പ്രവർത്തനം നൽകുന്നു.

മുകളിലുള്ള എല്ലാ സാങ്കേതിക വിദ്യകളും നിങ്ങൾ ഉപയോഗിച്ചാലും, ആപ്ലിക്കേഷൻ പരിശോധിക്കാനും ജയിൽബ്രോക്കൺ ഉപകരണത്തിൽ പ്രവർത്തിപ്പിക്കാനും കഴിയും. അവ ആപ്ലിക്കേഷൻ ഗവേഷണ പ്രക്രിയയെ സങ്കീർണ്ണമാക്കുകയും മന്ദഗതിയിലാക്കുകയും ചെയ്യുന്നു, മാത്രമല്ല ഉയർന്ന യോഗ്യതയുള്ള ഗവേഷകർ ആവശ്യമാണ്.

Android ആപ്ലിക്കേഷൻ സുരക്ഷാ ഗവേഷണ ഫലങ്ങൾ

മിക്ക കേസുകളിലും ഡവലപ്പർ രണ്ട് പ്ലാറ്റ്‌ഫോമുകൾക്കുമായി ആപ്ലിക്കേഷനുകൾ വികസിപ്പിക്കുന്നതിനാൽ സ്ഥിതിവിവരക്കണക്കുകൾ iOS-നുള്ളവയുമായി പൊരുത്തപ്പെടുന്നു.

Android-നുള്ള അക്കൗണ്ട് ആക്‌സസ് ഉള്ള റഷ്യൻ ബാങ്കുകൾക്കായുള്ള മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷൻ ഡെവലപ്പർമാരുടെ സ്ഥിതിവിവരക്കണക്കുകൾ

* ഒരു മൊബൈൽ ആപ്ലിക്കേഷന്റെ ഡെവലപ്പറെ കൃത്യമായി തിരിച്ചറിയുന്നത് എല്ലായ്പ്പോഴും സാധ്യമല്ല. ഒരു ബാങ്കിന്റെയോ വ്യക്തിയുടെയോ പേരിൽ സ്റ്റോറിൽ ആപ്ലിക്കേഷൻ പോസ്റ്റ് ചെയ്തിരിക്കുന്നതും ഡെവലപ്പറെക്കുറിച്ചുള്ള വിവരങ്ങളൊന്നും ഉൾക്കൊള്ളാത്തതുമാണ് ഇതിന് കാരണം.

AndroidManifest.xml പാഴ്‌സ് ചെയ്യുന്നു

AndroidManifest.xml ഫയൽ വിശകലനം ചെയ്യുന്നതിലൂടെ, ആപ്ലിക്കേഷന് ആവശ്യമായ അനുമതികളെക്കുറിച്ചും ആപ്ലിക്കേഷൻ ഉപയോഗിക്കുന്ന ഇന്റർപ്രോസസ് കമ്മ്യൂണിക്കേഷൻ മെക്കാനിസങ്ങളെക്കുറിച്ചും നിങ്ങൾക്ക് വിവരങ്ങൾ ലഭിക്കും.

	ഈ അവകാശങ്ങളുള്ള അപേക്ഷകളുടെ എണ്ണം
android.permission.INTERNET
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
Android.permission.CALL_PHONE
Android.permission.WRITE_EXTERNAL_STORAGE
android.permission.RECEIVE_SMS
Android.permission.READ_CONTACTS
android.permission.ACCESS_MOCK_LOCATION
android.permission.VIBRATE
android.permission.ACCESS_WIFI_STATE
android.permission.SEND_SMS
android.permission.ACCESS_GPS
android.permission.CHANGE_CONFIGURATION
Android.permission.CAMERA
android.permission.CONTROL_LOCATION_UPDATES
Android.permission.READ_SMS
Android.permission.WRITE_CONTACTS
android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
android.permission.CHANGE_WIFI_STATE
Android.permission.READ_LOGS
android.permission.WRITE_SMS
Android.permission.BROADCAST_STICKY
android.permission.GET_TASKS
Android.permission.WRITE_SETTINGS

പട്ടികയിൽ, നിർണായക ആപ്ലിക്കേഷൻ അവകാശങ്ങൾ ചുവപ്പ് നിറത്തിൽ അടയാളപ്പെടുത്തിയിരിക്കുന്നു, ഇത് ഉപകരണ ലോഗുകൾ, ഉപകരണ ക്രമീകരണങ്ങൾ എന്നിവ വായിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു, സുരക്ഷിതമല്ലാത്ത API കോളുകളിൽ ഉപയോഗിക്കുമ്പോൾ അവ ആവശ്യമാണ്. ഉദാഹരണത്തിന്, WRITE_EXTERNAL_STORAGE വലത് നിങ്ങളെ ഡാറ്റ വായിക്കാനും എഴുതാനും അനുവദിക്കുന്നു ബാഹ്യ SD കാർഡ്. അതേ സമയം, Android-ൽ SD കാർഡിലെ ആപ്ലിക്കേഷനുകൾക്കുള്ള അവകാശങ്ങളുടെ വ്യത്യാസമില്ല: ഏത് ആപ്ലിക്കേഷനും അതിൽ നിന്ന് ഏത് ഡാറ്റയും വായിക്കാൻ കഴിയും. അതിനാൽ, ഒരു മൂന്നാം കക്ഷി അപ്ലിക്കേഷന് SD കാർഡിൽ നിന്ന് സെൻസിറ്റീവ് ക്ലയന്റ് ഡാറ്റ വായിക്കാൻ കഴിയും.

നിർണായകമല്ലാത്തതും എന്നാൽ മൊബൈൽ ബാങ്കിംഗ് പ്രവർത്തനങ്ങൾ നടത്താൻ ആവശ്യമില്ലാത്തതുമായ അവകാശങ്ങൾ (കോൺടാക്റ്റുകളിലേക്കുള്ള ആക്സസ്, SMS സന്ദേശങ്ങൾ, ക്യാമറ) മഞ്ഞ നിറത്തിൽ അടയാളപ്പെടുത്തിയിരിക്കുന്നു.

എത്ര ആപ്ലിക്കേഷനുകൾക്ക് ഉയർന്ന, ഇടത്തരം, താഴ്ന്ന വിമർശന അവകാശങ്ങൾ ഉണ്ടെന്ന് ഈ ഗ്രാഫ് കാണിക്കുന്നു.

പൊതുവായി ലഭ്യമായ ഇന്റർപ്രോസസ് കമ്മ്യൂണിക്കേഷൻ മെക്കാനിസങ്ങൾ വിശകലനം ചെയ്ത ആപ്ലിക്കേഷന്റെ ഡാറ്റ എൻട്രി പോയിന്റുകളാണ്. സംശയാസ്‌പദമായ അപ്ലിക്കേഷനിലേക്ക് ഡാറ്റ അയയ്‌ക്കാൻ അവർ മൂന്നാം കക്ഷി അപ്ലിക്കേഷനുകളെ അനുവദിക്കുന്നു. അത്തരം ഡാറ്റാ എൻട്രി പോയിന്റുകൾ കൂടുന്തോറും ആപ്ലിക്കേഷനിൽ ഒരു അപകടസാധ്യത ഉണ്ടാകാനുള്ള സാധ്യത കൂടുതലാണ്.

ContentProvider മറ്റ് ആപ്ലിക്കേഷനുകൾക്ക് ഡാറ്റ നൽകുന്നു.

റിസീവറുകൾ മറ്റ് പ്രക്രിയകളിൽ നിന്നുള്ള സന്ദേശം കൈകാര്യം ചെയ്യുന്നവരാണ്.

പശ്ചാത്തല പ്രോസസ്സുകളായി പ്രവർത്തിക്കുന്ന Android-ലെ സേവനങ്ങളാണ് സേവനങ്ങൾ.

ഇന്റർഫേസ് പ്രദർശിപ്പിക്കുന്ന ആപ്ലിക്കേഷന്റെ ദൃശ്യ ഘടകമാണ് പ്രവർത്തനങ്ങൾ. ഈ ഘടകങ്ങളിലെ ഇൻപുട്ട് ഡാറ്റയുടെ തെറ്റായ മൂല്യനിർണ്ണയം SQL ഇൻജക്ഷൻ, XSS, ഡാറ്റ ചോർച്ച, മറ്റ് കേടുപാടുകൾ എന്നിവയിലേക്ക് നയിച്ചേക്കാം.

ചില ആപ്ലിക്കേഷനുകൾ IMEI അല്ലെങ്കിൽ IMSI പോലെയുള്ള അദ്വിതീയവും നിർണായകവുമായ ഫോൺ വിവരങ്ങൾ നേടുകയും ഉപയോഗിക്കുകയും ചെയ്യുന്നു. ഈ വിവരങ്ങൾ വ്യക്തിഗത വിവരമായി കണക്കാക്കപ്പെടുന്നു, കാരണം ഇത് വരിക്കാരനെ തിരിച്ചറിയുകയും അവനെ ട്രാക്ക് ചെയ്യാൻ ഉപയോഗിക്കുകയും ചെയ്യും. കൂടാതെ, IMEI, IMSI എന്നിവ ഒരു അദ്വിതീയ ഐഡന്റിഫയറായി ഉപയോഗിക്കാൻ കഴിയില്ല കാരണം മൂന്നാം കക്ഷി ആപ്ലിക്കേഷനുകൾഅത് സ്വീകരിക്കാനും കഴിയും.

ഈ അപകടസാധ്യത നിർണായകമല്ല, എന്നാൽ മറ്റ് കേടുപാടുകൾക്കൊപ്പം ഇത് ഉപയോഗിക്കാം.

സ്വഭാവം

അളവ്

IMEI/IMSI നേടുക

IMEI/IMSI ഉപയോഗിക്കരുത്

ചില ആപ്ലിക്കേഷനുകൾ webView ഘടകം ഉപയോഗിക്കുന്നു. പ്രാദേശികമായോ വിദൂരമായോ ഉള്ള HTML പേജുകൾ പ്രദർശിപ്പിക്കാൻ ഈ ഘടകം നിങ്ങളെ അനുവദിക്കുന്നു. ജാവാസ്ക്രിപ്റ്റ്, ഒരു ഫ്ലാഷ് പ്ലഗിൻ, ഫയൽ സിസ്റ്റം ആക്സസ് എന്നിവ ഉപയോഗിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന സവിശേഷതകൾ ഇതിന് ഉണ്ട്. ഡിഫോൾട്ടായി, ഈ ഫീച്ചറുകൾ അപ്രാപ്‌തമാക്കുന്നു, കാരണം സുരക്ഷിതമല്ലാത്ത ഒന്നിൽ കണക്‌റ്റ് ചെയ്യുമ്പോൾ HTTP പ്രോട്ടോക്കോൾഅല്ലെങ്കിൽ ഒരു XSS ദുർബലത ഓണാണെങ്കിൽ റിമോട്ട് സെർവർഒരു ആക്രമണകാരിക്ക് അനിയന്ത്രിതമായ JavaScript കോഡ് നടപ്പിലാക്കാൻ കഴിയും. ഒരു മൊബൈൽ ബാങ്ക് ഈ അപകടസാധ്യതയുള്ള ഒരു പേജ് ആക്‌സസ് ചെയ്യുമ്പോൾ, അത് ക്ഷുദ്രകരമായ JavaScript ലോഡുചെയ്യും, കൂടാതെ ആക്രമണകാരിക്ക് ക്ലയന്റിന്റെ മൊബൈൽ ബാങ്കിന്മേൽ ഭാഗിക നിയന്ത്രണം ലഭിക്കും.

ഞങ്ങൾ അവലോകനം ചെയ്‌ത നിരവധി ആപ്ലിക്കേഷനുകളിൽ JavaScript, പ്ലഗിനുകൾ, ഫയൽ സിസ്റ്റം ആക്‌സസ് എന്നിവ ഉൾപ്പെടുന്നു, അവ ഗുരുതരമായ കേടുപാടുകൾ ആണ്. തെറ്റായ ഡാറ്റ മൂല്യനിർണ്ണയം അല്ലെങ്കിൽ സുരക്ഷിതമല്ലാത്ത ചാനലിന്റെ ഉപയോഗം ഇരയുടെ ഫോണിൽ ആക്രമണത്തിന് ഇടയാക്കും. ഫയൽ സിസ്റ്റം ആക്‌സസ് ഫംഗ്‌ഷനുകൾ ഉപയോഗിക്കുന്നത് ഒരു XSS ആക്രമണമുണ്ടായാൽ ഒരു ആക്രമണകാരിയെ ഫയൽ സിസ്റ്റത്തിലേക്ക് ആക്‌സസ് ചെയ്യാൻ അനുവദിക്കും. JavaScript പ്രവർത്തനരഹിതമാക്കി webView ഉപയോഗിക്കുന്നത് നിർണായകമല്ല.

ഈ ദുർബലതയുടെ സാന്നിധ്യം നിർണായക ക്ലയന്റ് ഡാറ്റയുടെ വിട്ടുവീഴ്ചയ്ക്കും ഫണ്ടുകളുടെ മോഷണത്തിനും ഇടയാക്കും.

ആൻഡ്രോയിഡിൽ, സൃഷ്‌ടിച്ച എല്ലാ ഫയലുകളും ആ അപ്ലിക്കേഷനിൽ മാത്രമേ ലഭ്യമാകൂ, എന്നാൽ ചില അപ്ലിക്കേഷനുകൾ എല്ലാ ഉപയോക്താക്കൾക്കും വായിക്കാനും എഴുതാനും കഴിയുന്ന ഫയലുകൾ സൃഷ്‌ടിക്കുന്നു. അത്തരം ഒരു ഫയലിൽ നിർണായക ഡാറ്റ സംഭരിക്കുന്നത് അതിന്റെ വിട്ടുവീഴ്ചയിലേക്ക് നയിച്ചേക്കാം.

ഈ ദുർബലതയുടെ സാന്നിധ്യം നിർണായക ക്ലയന്റ് ഡാറ്റയുടെ ഭാഗിക വിട്ടുവീഴ്ചയിലേക്ക് നയിച്ചേക്കാം.

സ്വഭാവം

അളവ്

പൊതു ഫയലുകൾ ഉണ്ട്

പൊതു ഫയലുകളൊന്നുമില്ല

ചില ആപ്ലിക്കേഷനുകൾ ഉപയോഗിക്കുന്നു XML പാഴ്സർബാഹ്യ എന്റിറ്റികൾക്കുള്ള പിന്തുണയോടെ. ഈ പാർസർ ഫിൽട്ടർ ചെയ്യാത്ത ഇൻപുട്ട് പ്രോസസ്സ് ചെയ്യുന്നുവെങ്കിൽ, ഒരു ആക്രമണകാരിക്ക് ഒരു XXE ആക്രമണം നടത്താനും ഒരു അനിയന്ത്രിതമായ ആപ്ലിക്കേഷൻ ഫയൽ വായിക്കാനും കഴിയും.

ഈ ദുർബലതയുടെ സാന്നിധ്യം നിർണായക ക്ലയന്റ് ഡാറ്റയുടെ ഭാഗിക വിട്ടുവീഴ്ചയ്ക്കും സേവനം നിഷേധിക്കുന്നതിനും ഇടയാക്കും.

സ്വഭാവം

അളവ്

സാധ്യതയുള്ള XXE

XXE കാണുന്നില്ല

നിങ്ങളുടെ ആപ്ലിക്കേഷൻ പരിരക്ഷിക്കുന്നതിന്, നിർമ്മിക്കുമ്പോൾ ഡീബഗ് ഫ്ലാഗ് നിങ്ങൾ പ്രവർത്തനരഹിതമാക്കണം.

ആൻഡ്രോയിഡ് ആപ്ലിക്കേഷനുകൾ ഡീകംപൈൽ ചെയ്യാൻ എളുപ്പമാണ്, അതിനാൽ റിവേഴ്സ് എഞ്ചിനീയറിംഗിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് ആപ്ലിക്കേഷൻ അവ്യക്തത ആവശ്യമാണ്.

അവ്യക്തതയുടെ അഭാവം പ്രോഗ്രാം പുനഃസ്ഥാപിക്കുന്നതിനും അതിലെ കേടുപാടുകൾക്കായി തിരയുന്നതിനുമുള്ള പ്രക്രിയയെ വളരെ ലളിതമാക്കുന്നു.

വേരൂന്നിയ ഉപകരണങ്ങൾ സുരക്ഷാ ഭീഷണികൾക്ക് കൂടുതൽ സാധ്യതയുള്ളവയാണ്. അതിനാൽ, സുരക്ഷ ഉറപ്പാക്കാൻ, നിങ്ങൾ ഉപകരണത്തിൽ റൂട്ട് ആക്സസ് പരിശോധിക്കണം. അവലോകനം ചെയ്‌ത അപ്ലിക്കേഷനുകളിൽ, സ്‌മാർട്ട്‌ഫോണിൽ റൂട്ട് ആക്‌സസ്സ് പരിശോധിച്ചത് ഒരെണ്ണം മാത്രം.

മൊബൈൽ പ്ലാറ്റ്‌ഫോമുകളുടെ ദ്രുതഗതിയിലുള്ള വളർച്ചയും വികാസവും കാരണം, മൊബൈൽ ബാങ്കിംഗിന്റെ ജനപ്രീതിയും വളരുകയാണ്.

സ്റ്റാറ്റിക് കോഡ് വിശകലനത്തെ അടിസ്ഥാനമാക്കിയുള്ള ഞങ്ങളുടെ ഗവേഷണം കാണിക്കുന്നത്, മൊബൈൽ ബാങ്കുകളിൽ ഫണ്ടുകളുടെ മോഷണത്തിലേക്ക് നയിച്ചേക്കാവുന്ന കേടുപാടുകളും പോരായ്മകളും അടങ്ങിയിരിക്കുന്നു എന്നാണ്. മിക്ക കേസുകളിലും മൊബൈൽ ബാങ്കുകളുടെ സുരക്ഷാ നിലവാരം പരമ്പരാഗത മൊബൈൽ ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയുടെ നിലവാരം കവിയുന്നില്ല, അതേസമയം അവയുമായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ വർദ്ധിച്ച സുരക്ഷാ ആവശ്യകതകളെ സൂചിപ്പിക്കുന്നു.

പഠനം ആരംഭിക്കുന്നതിന് മുമ്പ്, മൊബൈൽ പ്ലാറ്റ്‌ഫോമിനായുള്ള നിർദ്ദിഷ്ട കേടുപാടുകളുടെ എണ്ണം പൊതുവായി അറിയപ്പെടുന്നവയുടെ എണ്ണത്തേക്കാൾ ഗണ്യമായി കവിയുമെന്ന് ഞങ്ങൾ അനുമാനിച്ചു. എന്നാൽ ഫലമായി, രണ്ട് ക്ലാസുകളുടെയും ഏകദേശം ഒരേ എണ്ണം കേടുപാടുകൾ നിങ്ങൾക്ക് കാണാൻ കഴിയും. മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളിൽ അവയുടെ പ്രത്യേകതകളെക്കുറിച്ച് അറിവില്ലാതെ അറിയപ്പെടുന്ന ആക്രമണങ്ങൾ നടത്താൻ കഴിയുമെന്നാണ് ഇതിനർത്ഥം. OWASP ടോപ്പ് 10 മൊബൈൽ അപകടസാധ്യതകളുമായി ഫലങ്ങൾ ഓവർലാപ്പ് ചെയ്യുന്നു.

മൊബൈൽ ബാങ്കിംഗ് ഉപയോഗിക്കുമ്പോഴുള്ള അപകടസാധ്യതകൾ ആപ്ലിക്കേഷന്റെ സുരക്ഷയ്ക്ക് വിപരീത അനുപാതത്തിലാണ്. അതിനാൽ, മൊബൈൽ ബാങ്കിംഗ് ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷയെക്കുറിച്ച് സമഗ്രമായ ഓഡിറ്റ് ആവശ്യമാണ്. ഓൺലൈൻ ബാങ്കുകളുടെ സുരക്ഷയേക്കാൾ മൊബൈൽ ബാങ്കുകളുടെ സുരക്ഷയിൽ ബാങ്ക് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി സ്പെഷ്യലിസ്റ്റുകൾ ശ്രദ്ധിക്കണം.

1. സുരക്ഷാ പ്രശ്നങ്ങളിൽ പ്രോഗ്രാമർമാരെ അറിയിക്കുക;

2. വാസ്തുവിദ്യയിൽ സുരക്ഷ സംയോജിപ്പിക്കുക;

3. ഒരു കോഡ് ഓഡിറ്റ് നടത്തുക;

4. ഒരു ആപ്ലിക്കേഷൻ സുരക്ഷാ വിശകലനം നടത്തുക;

5. സുരക്ഷയുമായി ബന്ധപ്പെട്ട കമ്പൈലർ ഓപ്ഷനുകൾ പ്രയോഗിക്കുക;

6. ഇന്റർനെറ്റിൽ ആപ്ലിക്കേഷന്റെ വിതരണം നിയന്ത്രിക്കുക;

7. കേടുപാടുകൾ വേഗത്തിൽ അടച്ച് അപ്‌ഡേറ്റുകൾ റിലീസ് ചെയ്യുക.

പഠനത്തിന്റെ വിശദമായ ഫലങ്ങൾ കാണുന്നതിന്, ചുവടെയുള്ള ലിങ്കിൽ നിന്ന് നിങ്ങൾക്ക് അത് ഡൗൺലോഡ് ചെയ്യാം.