چطور در برابر جعل اپ موبایل از خود محافظت کنیم؟

۱۴۰۰/۹/۱۰امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بیشتر کاربرانی که از طریق کانال‌های قانونی چون گوگل‌پلی‌استور یا اپل‌استور اپ‌ها را نصب می‌کنند چنان اعتمادی به این پلت‌فرم‌ها دارند که گمان کمی‌کنند اطلاعاتشان برای همیشه در برابر حملات مخرب محافظت خواهد شد. البته چنین گمانی با عقل هم جور درمی‌آید زیرا گوگل‌پلی‌استور یا اپ‌استور فروشگاه‌های آنلاین رسمی و قانونی‌ای هستند که کل جهان آن‌ها را شناخته و از آن استفاده می‌کنند. با این حال علی‌رغم همه اقدامات امنیتی سرسختانه‌ای که روی این پلت‌فرم‌ها پیاده می‌شود باز هم مجرمان سایبری می‌توانند راه‌هایی را پیدا کنند تا یک‌جورهایی این قوانین سفت و سخت را دور بزنند. با ما همراه بمانید تا توضیح دهیم چطور می‌شود در برابر جعل اپ موبایل از خود محافظت کرد. آن‌ها در واقع این کار را با جعل اپ انجام می‌دهند. برای مثال از آنجایی که اندروید می‌گذارد کاربرانش سایدلود کنند و اپ‌های دانلودشده از منابع غیرذخیره‌ای را نصب نمایند، مجرمان سایبری با ساخت اپ‌های شبیه‌سازی‌شده و جعلی که تقلیدِ اپ‌های قانونی را می‌کنند از آپ گل‌آلود ماهی می‌گیرند.

آن‌ها سپس از این اپ‌های فیک برای جمع‌آوری داده‌های محرمانه استفاده می‌کنند تا بعدها آن‌ها را در حمله‌ای مخرب به کار گیرند. نمونه‌اش زمانی بود که هند تیک‌تاک را ممنوع کرد. بلافاصه اپی مشابه به نام TikTok Pro سر و کله‌اش پیدا شد و قصدش فقط سرقت داده‌ها از دستگاه‌های کاربران بود. مهاجمین همچنین از ترس و آشوبی که از بعد از آمدن کووید 19 همه‌جا را فرا گرفت نیز برای جمع‌آوری داده‌های کاربری از طریق اپ‌های فیک ردیابی استفاده کردند. هرقدر بیشتر، شرکت‌ها به کارمندان خود اجازه می‌دهند تا از طریق دستگاه‌های موبالشان به اپ‌های تجاری وصل شوند مجرمان سایبری هم بیشتر تکنیک‌های ریموت خود را تقویت می‌کنند.

افزون بر این شبکه‌های اینترنتی شخصی به ندرت چنین نوع اقدامات امنیتی را (مانند فایروال‌ها که به مهاجمین فضای کافی برای دستبرد به داده‌های تجاری می‌دهد) در محیط اداری خود دارند. در زیر به روش‌هایی نگاه انداخته‌ایم که بواسطه‌شان می‌شود جعل اپ را شناسایی کرد و نیز ابزارهایی را بررسی کرده‌ایم که به شما کمک می‌کنند از خود در برابر حملاتی از این جنس دفاع کرده و امنیت بالاتری را تجربه کنید.

انواع جعل اپ

علاوه بر نمونه‌هایی که در فوق داده شد، جعل اپ به طرق مختلف اتفاق می‌افتد. یادتان باشد تنها هدف یک مجرم سایبری دسترسی به داده‌های کاربر، APIهای بک‌اند و اطلاعات تجاری است. در زیر دو متود جعل هویت را که در سال 2021 شناسایی شدند آورده‌ایم:

اپ‌های جعلی

هکرها با ساخت اپ‌های مشابه و مدل جعلیِ اپ‌های قانونی راه و چاه شبیه‌سازی را یاد گرفته‌اند. آن‌ها اطلاعات حساسی را چون اطلاعات بانکی، اطلاعات کارت بانکی و اطلاعات بیومتریک را از طریق اپ‌های جعلی جمع‌آوری می‌کنند. هر قدر هم که گوگل‌پلی سعی دارد راه این نفوذی‌ها را سد کند باز هم به طریقی این بازی موش و گربه ادامه پیدا می‌کند. به محض اینکه اپی در این فروشگاه آنلاین حاضر می‌شود نسخه فیک آن نیز منتشر می‌شود. علاوه بر اینها، سایدلود کردن اپ‌ها نیز توصیه نمی‌شود اما با همه اینها هنوز هم یک عده این کار را انجام می‌دهند و بردار حمله مهاجمین را قوی‌تر می‌کنند. مجرمان سایبری از این اطلاعات برای اهداف شرورانه خود استفاده می‌کنند؛ برای مثال تصاحب حساب کاربری، ریدایرکت کردن پرداختی‌ها و بالا کشیدن همه پول‌ها. شاید هم هدف آن‌ها به سادگی فروش اطلاعات محرمانه در دارک‌وب باشد.

جعل API

دستکاری و جعل API مکانیزمی است که هدفش سرقت داده‌های شخصی و تجاری است. حتی این کار برای مقاصد تبلیغاتی نیز انجام می‌شود. برای پیش بردن این اقدام، مجرمان سایبری آسیب‌پذیری‌ها را اکسپلویت می‌کنند یا اصلاً باگ‌های داخل خود APIها را استخراج می‌کنند. شاید هم این کار را با استفاده از اطلاعات معتبری انجام دهند که از سایر سازمان‌ها سرقت شده است (یا در دارک‌وب خریداری شده است). بدین‌ترتیب به سیستم‌های بک‌اند دسترسی حاصل می‌شود. هر دو بردارهای حمله مبتنی بر اسکریپت هستند و از کلیدهای API که از اپ‌های موبایل استخراج شدند استفاده می‌کنند. پژوهش‌های گارتنر اینطور تخمین می‌زند که APIها تا سال 2022 به طلایه‌دار حملات سایبری تبدیل شوند.

راهکارهای امنیتی

  •         پیاده‌سازی مکانیزم‌های دفاعی API

بسیاری از افراد بر این باورند که محافظت از اپ‌های موبایل از APIهایی که آن‌ها استفاده می‌کنند نیز محافظت می‌کند. متأسفانه این منطق غلطی است. در واقعیت، یک اپ واقعی موبایل جعبه‌ابزار هک برای مجرمان سایبری است زیرا آن‌ها می‌توانند از آن برای معماری و پیاده‌سازی نسخه‌های جعلی اپ استفاده کنند. علاوه بر این، آن‌ها می‌توانند درخواست‌ها/پاسخ‌های API را بررسی کرده و به سرعت اسکریپتی بسازند که کارش تولید توالی API است؛ این توالی‌ها فرقشان با ترافیک اپ موبایل واقعی معلوم نیست. بنابراین مهم است که امنیت API را مقوله‌ای مجزا از امنیت اپ موبایل بدانیم. یک ابزار محافظت از API باید قادر باشد درخواست‌های دریافتی API را که از اپ موبایل واقعی می‌آید اعتبارسنجی کند.

  •         استفاده از متود تأیید برنامه

مهاجمین می‌دانند که اگر روی دستگاه موبایل خود اپ جعلی را نصب کنند می‌توانند خود را جای شما زده و اطلاعات مهم تجاری و حساس‌تان را استخراج کنند. نمی‌شود جلوی نفوذ اپ‌های فیک را در اپ‌استورهای رسمی گرفت؛ درست همانطور که محال است جلوی همه کاربران را گرفت تا سایدلود نکنند. اما آنچه می‌شود اجالتاً انجام داد این است که تضمین دهیم هیچیک از این اپ‌های شرور قرار نیست با سیستم‌های بک‌اند در ارتباط باشند. تأیید اپ موبایل در واقع یک متود به شدت کریپتوگرافیک است که از طریق آن یک اپ می‌تواند ثابت کند نمونه‌ی واقعی‌ایست از اپ اورجینال که در اپ‌استورها آپلود می‌شود.  اگر این اثبات بتواند سیستم‌های بک‌اند را در کند احتمال این وجود دارد که همه اپ‌های فیک بسته شوند؛ فرقی هم ندارد از فروشگاه‌های اپ آمده‌اند یا از سایدلودهای کاربران.

  •         تست نفوذ به طور مرتب

تست نفوذ[1] اگر به طور مرتب انجام شود می‌تواند آسیب‌پذیری‌ها را با تحریک حملات احتمالی روی اپ‌های شما برملا کند و پیش از اینکه هکرها به حفره‌های امنیت دست پیدا کنند آن‌ها را شناسایی نماید. بهترین کار این است که از تست نفوذ خارجی استفاده کنید زیرا کمتر با سیستم‌های شما آشنا هستند و به طور مستقل دست به شناسایی نقایص می‌زنند. دو روش تست نفوذ ذاریم:

تست نفوذ داخلی

جایی است که در آن تست رخ می‌دهد؛ درست در پس فایروال اپ تا بدین‌ترتیب یک حمله داخلی شبیه‌سازی شود.

تست نفوذ خارجی

جایی که در آن حملات روی دارایی‌های عمومی شرکت شبیه‌سازی می‌شوند؛ مانند وبسایت یا اپ‌های موبایل. هدف هم شناسایی حفره‌های امنیتی احتمالی است که ممکن است مجرمان از آن‌ها برای حمله به شرکت یا مشتریانش استفاده کنند.

بهترین اقدام امنیتی در مقابل جعل اپ

یک ابزار دفاعی همه‌چیز تمام با جعل اپ مبارزه کرده و از اطلاعات و APIهای شما محافظت می‌نماید تا بتوانید روی ساخت قابلیت‌های بهتر و رشد پلت‌فرم خود تمرکز بیشتری داشته باشید. این ابزارها باید با نصب یک SDK که کارش تعامل سرویس کلود است (سرویسی که می‌تواند صحت برنامه را تأیید کند) بتوانند روی اپ موبایل آی‌اواس یا اندروید تجمیع شوند. یک توکن کوتاه 5 دقیقه‌ای می‌تواند برای مثال به بک‌اند API شما ارسال شود تا ثابت کند درخواست API از منبعی موثق و معتبر آمده و همه مقتضیات زمان اجرا لحاظ شده است. هر تراکنشی باید همچنین از حیث خط‌مشی امنیت مورد بررسی قرار گیرد و هم برای اپ و هم APIهای شما پروسه امنیتی پایان به پایانی را ارائه دهد.

 

[1] Penetration testing

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.