روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ بیشتر کاربرانی که از طریق کانالهای قانونی چون گوگلپلیاستور یا اپلاستور اپها را نصب میکنند چنان اعتمادی به این پلتفرمها دارند که گمان کمیکنند اطلاعاتشان برای همیشه در برابر حملات مخرب محافظت خواهد شد. البته چنین گمانی با عقل هم جور درمیآید زیرا گوگلپلیاستور یا اپاستور فروشگاههای آنلاین رسمی و قانونیای هستند که کل جهان آنها را شناخته و از آن استفاده میکنند. با این حال علیرغم همه اقدامات امنیتی سرسختانهای که روی این پلتفرمها پیاده میشود باز هم مجرمان سایبری میتوانند راههایی را پیدا کنند تا یکجورهایی این قوانین سفت و سخت را دور بزنند. با ما همراه بمانید تا توضیح دهیم چطور میشود در برابر جعل اپ موبایل از خود محافظت کرد. آنها در واقع این کار را با جعل اپ انجام میدهند. برای مثال از آنجایی که اندروید میگذارد کاربرانش سایدلود کنند و اپهای دانلودشده از منابع غیرذخیرهای را نصب نمایند، مجرمان سایبری با ساخت اپهای شبیهسازیشده و جعلی که تقلیدِ اپهای قانونی را میکنند از آپ گلآلود ماهی میگیرند.
آنها سپس از این اپهای فیک برای جمعآوری دادههای محرمانه استفاده میکنند تا بعدها آنها را در حملهای مخرب به کار گیرند. نمونهاش زمانی بود که هند تیکتاک را ممنوع کرد. بلافاصه اپی مشابه به نام TikTok Pro سر و کلهاش پیدا شد و قصدش فقط سرقت دادهها از دستگاههای کاربران بود. مهاجمین همچنین از ترس و آشوبی که از بعد از آمدن کووید 19 همهجا را فرا گرفت نیز برای جمعآوری دادههای کاربری از طریق اپهای فیک ردیابی استفاده کردند. هرقدر بیشتر، شرکتها به کارمندان خود اجازه میدهند تا از طریق دستگاههای موبالشان به اپهای تجاری وصل شوند مجرمان سایبری هم بیشتر تکنیکهای ریموت خود را تقویت میکنند.
افزون بر این شبکههای اینترنتی شخصی به ندرت چنین نوع اقدامات امنیتی را (مانند فایروالها که به مهاجمین فضای کافی برای دستبرد به دادههای تجاری میدهد) در محیط اداری خود دارند. در زیر به روشهایی نگاه انداختهایم که بواسطهشان میشود جعل اپ را شناسایی کرد و نیز ابزارهایی را بررسی کردهایم که به شما کمک میکنند از خود در برابر حملاتی از این جنس دفاع کرده و امنیت بالاتری را تجربه کنید.
انواع جعل اپ
علاوه بر نمونههایی که در فوق داده شد، جعل اپ به طرق مختلف اتفاق میافتد. یادتان باشد تنها هدف یک مجرم سایبری دسترسی به دادههای کاربر، APIهای بکاند و اطلاعات تجاری است. در زیر دو متود جعل هویت را که در سال 2021 شناسایی شدند آوردهایم:
اپهای جعلی
هکرها با ساخت اپهای مشابه و مدل جعلیِ اپهای قانونی راه و چاه شبیهسازی را یاد گرفتهاند. آنها اطلاعات حساسی را چون اطلاعات بانکی، اطلاعات کارت بانکی و اطلاعات بیومتریک را از طریق اپهای جعلی جمعآوری میکنند. هر قدر هم که گوگلپلی سعی دارد راه این نفوذیها را سد کند باز هم به طریقی این بازی موش و گربه ادامه پیدا میکند. به محض اینکه اپی در این فروشگاه آنلاین حاضر میشود نسخه فیک آن نیز منتشر میشود. علاوه بر اینها، سایدلود کردن اپها نیز توصیه نمیشود اما با همه اینها هنوز هم یک عده این کار را انجام میدهند و بردار حمله مهاجمین را قویتر میکنند. مجرمان سایبری از این اطلاعات برای اهداف شرورانه خود استفاده میکنند؛ برای مثال تصاحب حساب کاربری، ریدایرکت کردن پرداختیها و بالا کشیدن همه پولها. شاید هم هدف آنها به سادگی فروش اطلاعات محرمانه در دارکوب باشد.
جعل API
دستکاری و جعل API مکانیزمی است که هدفش سرقت دادههای شخصی و تجاری است. حتی این کار برای مقاصد تبلیغاتی نیز انجام میشود. برای پیش بردن این اقدام، مجرمان سایبری آسیبپذیریها را اکسپلویت میکنند یا اصلاً باگهای داخل خود APIها را استخراج میکنند. شاید هم این کار را با استفاده از اطلاعات معتبری انجام دهند که از سایر سازمانها سرقت شده است (یا در دارکوب خریداری شده است). بدینترتیب به سیستمهای بکاند دسترسی حاصل میشود. هر دو بردارهای حمله مبتنی بر اسکریپت هستند و از کلیدهای API که از اپهای موبایل استخراج شدند استفاده میکنند. پژوهشهای گارتنر اینطور تخمین میزند که APIها تا سال 2022 به طلایهدار حملات سایبری تبدیل شوند.
راهکارهای امنیتی
- پیادهسازی مکانیزمهای دفاعی API
بسیاری از افراد بر این باورند که محافظت از اپهای موبایل از APIهایی که آنها استفاده میکنند نیز محافظت میکند. متأسفانه این منطق غلطی است. در واقعیت، یک اپ واقعی موبایل جعبهابزار هک برای مجرمان سایبری است زیرا آنها میتوانند از آن برای معماری و پیادهسازی نسخههای جعلی اپ استفاده کنند. علاوه بر این، آنها میتوانند درخواستها/پاسخهای API را بررسی کرده و به سرعت اسکریپتی بسازند که کارش تولید توالی API است؛ این توالیها فرقشان با ترافیک اپ موبایل واقعی معلوم نیست. بنابراین مهم است که امنیت API را مقولهای مجزا از امنیت اپ موبایل بدانیم. یک ابزار محافظت از API باید قادر باشد درخواستهای دریافتی API را که از اپ موبایل واقعی میآید اعتبارسنجی کند.
- استفاده از متود تأیید برنامه
مهاجمین میدانند که اگر روی دستگاه موبایل خود اپ جعلی را نصب کنند میتوانند خود را جای شما زده و اطلاعات مهم تجاری و حساستان را استخراج کنند. نمیشود جلوی نفوذ اپهای فیک را در اپاستورهای رسمی گرفت؛ درست همانطور که محال است جلوی همه کاربران را گرفت تا سایدلود نکنند. اما آنچه میشود اجالتاً انجام داد این است که تضمین دهیم هیچیک از این اپهای شرور قرار نیست با سیستمهای بکاند در ارتباط باشند. تأیید اپ موبایل در واقع یک متود به شدت کریپتوگرافیک است که از طریق آن یک اپ میتواند ثابت کند نمونهی واقعیایست از اپ اورجینال که در اپاستورها آپلود میشود. اگر این اثبات بتواند سیستمهای بکاند را در کند احتمال این وجود دارد که همه اپهای فیک بسته شوند؛ فرقی هم ندارد از فروشگاههای اپ آمدهاند یا از سایدلودهای کاربران.
تست نفوذ[1] اگر به طور مرتب انجام شود میتواند آسیبپذیریها را با تحریک حملات احتمالی روی اپهای شما برملا کند و پیش از اینکه هکرها به حفرههای امنیت دست پیدا کنند آنها را شناسایی نماید. بهترین کار این است که از تست نفوذ خارجی استفاده کنید زیرا کمتر با سیستمهای شما آشنا هستند و به طور مستقل دست به شناسایی نقایص میزنند. دو روش تست نفوذ ذاریم:
تست نفوذ داخلی
جایی است که در آن تست رخ میدهد؛ درست در پس فایروال اپ تا بدینترتیب یک حمله داخلی شبیهسازی شود.
تست نفوذ خارجی
جایی که در آن حملات روی داراییهای عمومی شرکت شبیهسازی میشوند؛ مانند وبسایت یا اپهای موبایل. هدف هم شناسایی حفرههای امنیتی احتمالی است که ممکن است مجرمان از آنها برای حمله به شرکت یا مشتریانش استفاده کنند.
بهترین اقدام امنیتی در مقابل جعل اپ
یک ابزار دفاعی همهچیز تمام با جعل اپ مبارزه کرده و از اطلاعات و APIهای شما محافظت مینماید تا بتوانید روی ساخت قابلیتهای بهتر و رشد پلتفرم خود تمرکز بیشتری داشته باشید. این ابزارها باید با نصب یک SDK که کارش تعامل سرویس کلود است (سرویسی که میتواند صحت برنامه را تأیید کند) بتوانند روی اپ موبایل آیاواس یا اندروید تجمیع شوند. یک توکن کوتاه 5 دقیقهای میتواند برای مثال به بکاند API شما ارسال شود تا ثابت کند درخواست API از منبعی موثق و معتبر آمده و همه مقتضیات زمان اجرا لحاظ شده است. هر تراکنشی باید همچنین از حیث خطمشی امنیت مورد بررسی قرار گیرد و هم برای اپ و هم APIهای شما پروسه امنیتی پایان به پایانی را ارائه دهد.
[1] Penetration testing
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.