خانه » پست‌هایی با برچسب "OWASP"

اپلیکیشن‌های بانکی، نگرانی جدید امنیتی بانک‌ها

نرم‌افزارهای موبایلی در دنیای امروز تنها اطلاعات عمومی کاربر را حفظ و منتقل نمی‌کنند، بلکه اطلاعات سری امنیتی نیز جزو مواردی است که امروزه توسط اپ‌های موبایلی منتقل می‌شود که از آن جمله می‌توان به اطلاعات تراکنش مشتریان اشاره کرد که می‌تواند جهت دزدی هویت مورد استفاده قرار گیرد.
به گزارش پایگاه خبری بانکداری الکترونیک،نرم‌افزارهای موبایلی در دنیای امروز تنها اطلاعات عمومی کاربر را حفظ و منتقل نمی‌کنند، بلکه اطلاعات سری امنیتی نیز جزو مواردی است که امروزه توسط اپ‌های موبایلی منتقل می‌شود که از آن جمله می‌توان به اطلاعات تراکنش مشتریان اشاره کرد که می‌تواند جهت دزدی هویت مورد استفاده قرار گیرد.
علاوه بر این، از آنجایی که سیستم ابزاری در این روند براساس نظریه «هر کس ابزار خود را به همراه داشته باشد (BYOD)» است بنابراین، مشکلاتی جهت قانونمند کردن ابزارها در زمینه دسترسی به اطلاعات شرکتی نیز وجود دارد. این پیچیدگی‌ها به همراه افزایش دسترسی موبایل‌ها به مرزهای امنیتی اطلاعات شرکت‌ها همه‌روزه منجر به افزایش ریسک امنیتی آن‌ها می‌شود. اگر این مرزها شکسته شوند منجر به خسارات مالی و حقوقی قابل‌توجهی به شرکت‌ها و بانک‌ها خواهد شد. موبایل‌های گم شده یا دزدیده شده نیز می‌توانند به عنوان یک کانال جهت فعالیت‌های غیرمجاز امنیتی مورد استفاده قرار گیرند. هکر‌ها می‌توانند از این موبایل‌ها به عنوان نقطه حمله و اجرای سناریوهای دزدی استفاده کنند.
همه‌روزه با توسعه ابزارهای ارتباطی، اپ‌های موبایلی نیز توسعه قابل‌توجهی پیدا می‌کنند. این امر منجر به پیچیده شدن محیط‌های نرم‌افزاری آن‌ها شده است و امروز اپ‌های موبایلی اطلاعاتی را گردآوری، ذخیره و منتقل می‌کنند که سیستم‌های تحت وب به هیچ عنوان امکان انجام این فعالیت‌ها را ندارند. توسعه‌دهندگان اپ‌های موبایلی باید در این دوران همیشه با اطلاع کامل از مسائل امنیتی به توسعه نرم‌افزارهای موبایلی بپردازند.

چشم‌اندازه توسعه موبایل‌ها

ابزارهای موبایل هنوز هم درحال جایگزینی با ابزارهای بزرگ قدیمی در انواع سیستم‌های تجاری و شخصی هستند. این تغییرات منجر شده است تا رفتار مشتریان به یکی از مسائل مهم در زمینه‌های امنیت شرکت‌ها تبدیل شود. بنابراین، با توسعه ابزارهای موبایل اولین مسائلی که مدنظر شرکت‌ها باید قرار گیرد مسائل امنیتی است. براساس آمارهای به‌دست آمده در حدود ۳۵ درصد از ارتباطات موبایلی رمزگذاری نشده‌اند و به‌طور متوسط هر ابزار موبایلی با ۱۶۰ آدرس پروتکل اینترنتی در تماس است، و این امر منجر به افزایش ریسک امنیتی شده است.
در حدود ۴۳ درصد از مردم نیز هیچ پسورد یا الگوی امنیتی جهت دسترسی به اطلاعات موبایل خود نگذاشته‌اند و ترکیب این دو عامل منجر می‌شود تا از هر ۴ اپ موبایلی یک اپ ریسک امنیتی ایجاد کند. زیرساخت نرم‌افزارهای موبایلی، حساسیت دسترسی و همراه با آن، افزایش ارتباطات اینترنتی منجر شده است تا محیط‌های موبایلی به یک چالش منحصربه‌فرد در زمینه امنیت تبدیل شود.
حل این چالش‌ها تنها از راه افزایش امنیت موبایلی امکان‌پذیر بوده که منجر به افزایش درجه انعطاف و عملکرد مشتری نهایی نیز خواهد شد. در نتیجه مشتریان می‌توانند در هر کجا و در هر زمان بدون به خطر افتادن امنیت اطلاعات حساس، به شبکه متصل شوند.

ریسک‌های موبایلی در بانکداری

بزرگترین پلتفرم‌های موبایلی دنیا سیستم iOS اپل و سیستم اندروید گوگل هستند. محیط‌های موبایلی محیط‌های پیچیده‌ای هستند که با گذر زمان روزبه‌روز تکامل پیدا می‌کنند. این امر منجر می‌شود تا محیط بسیار پویای توسعه‌دهندگان موبایلی کاملا برقرار باشد. در نتیجه ابزارها و امکانات جدید توسعه نرم‌افزاری هر روز به‌وجود آمده و توسعه‌دهندگان همیشه به دنبال استفاده از جدیدترین ابزارهای توسعه نرم‌افزار موبایلی هستند.
نحوه طراحی نرم‌افزارهای موبایلی به‌گونه‌ای است که منجر به افزایش توانمندی موبایل‌ها شود نیز خود یک تهدید امنیتی به شمار می‌رود. امکانات هر یک از ابزارها می‌تواند تفاوت‌های بسیار داشته باشد که شامل توانایی جست‌وجوی اینترنت، GPS، دوربین و غیره می‌شود. اما استفاده اهرمی از این ابزارها است که می‌تواند چالشی جدی در سیستم امنیتی ایجاد کند. یکی از نمونه‌های این ابزارها امکانات سپرده‌گذاری از طریق موبایل است که فرد می‌تواند با ارسال تصویر فیش پرداختی از طریق دوربین موبایل، واریز وجه خود را تایید کند.

پروژه امنیت نرم‌افزارهای اوپن وب (OWASP) یکی از پروژه‌هایی است که به ارزیابی ریسک‌های موبایلی می‌پردازد. این پروژه با همکاری دو شرکت اکسنچر و NowSecure به انجام رسیده است که در آن ۱۰ ریسک مهم ابزارهای موبایلی برشمرده شده است. براساس نتایج این پروژه ۱۰ ریسک شامل موارد زیر است:

۱-    استفاده نادرست از پلتفرم
۲-    ذخیره ناامن اطلاعات
۳-    ارتباطات ناامن
۴-    احراز هویت ناامن
۵-    رمزنگاری ناکافی
۶-    مجوزهای ناامن
۷-    کیفیت دستورالعمل مشتری
۸-    تهاجم دستورالعملی
۹-    مهندسی معکوس
۱۰-    عملکردهای بیش از اندازه

سطوح حمله

سطوح حمله شامل بخش‌هایی از ابزارهای موبایلی است که هکرها می‌توانند از طریق آن‌ها به نرم‌افزار و اطلاعات امنیتی رخنه کرده و به اهداف خود برسند. این سطوح شامل سه بخش اصلی خود موبایل، شبکه موبایل و مراکز اطلاعاتی موبایل است. فعالیت‌های کلاهبرداری در رابطه با هر سطح در شکل زیر ارائه شده است.

 

منبع خبر: پایگاه خبری بانکداری الکترونیک