Birinci abzas
Mobil tətbiqlərin təhlükəsizlik strategiyası yalnız daxili kodun qorunması ilə məhdudlaşmır, həm də proqramın işlədiyi fiziki cihazın təhlükəsizlik statusunu nəzarətdə saxlamağı tələb edir. İdman analitikası və maliyyə əməliyyatları aparan platformalarda cihazın əməliyyat sisteminin icazəsiz modifikasiya edilməsi (Rooted Android və ya Jailbroken iOS) tətbiqin daxili yaddaşındakı məlumatların asanlıqla oxunmasına və manipulyasiya edilməsinə şərait yaradır. Bu cür yüksək riskli cihazlarda tətbiq daxili təhlükəsizlik sədlərinin necə qurulduğunu öyrənmək və ən yüksək müdafiə sistemlərinə malik proqram təminatını yükləmək üçün istifadəçilər mostbet az yukle rəsmi portalında təqdim edilən kibertəhlükəsizlik dərsliklərini nəzərdən keçirirlər.
Root və Jailbreak anlayışları və yaratdıqları təhlükələr
Smartfonlar zavod tərəfindən istehsal edilərkən istifadəçilərin əməliyyat sisteminin sistem sənədlərinə və daxili nüvəsinə (Kernel) müdaxilə etməsinə icazə verilmir. Bu, zərərli proqramların telefonun idarəetməsini ələ keçirməsinin qarşısını alan əsas təhlükəsizlik səddidir (Sandboxing).
Lakin bəzi istifadəçilər bu məhdudiyyətləri qırmaq üçün cihazlarını "Root" (Android) və ya "Jailbreak" (iOS) edirlər. Bu proses istifadəçiyə tam idarəetmə hüququ (Superuser access) versə də, tətbiqlərin təhlükəsizlik zəncirini tamamilə qırır:
Hər hansı bir zərərli proqram digər tətbiqlərin daxili yaddaşına (məsələn, bizim idman analitikası tətbiqimizin şifrələnmiş bazasına) asanlıqla sızıb məlumatları oğurlaya bilər.
Kiberfırıldaqçılar tətbiqin işləmə məntiqini dəyişərək daxili məlumatları manipulyasiya edə bilərlər.
Daxili bütövlüyün yoxlanılması (Device Integrity) prinsipləri
Mobil tətbiq daxilində bu cür modifikasiya olunmuş və təhlükəli mühitləri aşkar etmək üçün xüsusi daxili yoxlama mexanizmlərindən istifadə olunur:
Sistem fayllarının yoxlanılması: Tətbiq açıldığı an cihazın daxili qovluqlarında yalnız Root olunmuş cihazlarda mövcud olan xüsusi sistem fayllarının və idarəetmə proqramlarının olub-olmadığını yoxlayır.
Test imzalarının yoxlanılması: Əməliyyat sisteminin rəsmi Google və ya Apple sertifikatları ilə deyil, kənar şəxslər tərəfindən hazırlanmış qeyri-rəsmi test açarları (test-keys) ilə imzalanıb-imzalanmadığı analiz edilir.
Bulud əsaslı doğrulama (Play Integrity / App Attest): Müasir mobil platformalar daxili yoxlamalardan əlavə, bulud səviyyəsində təhlükəsizlik doğrulaması təklif edir. Sistem cihazın aparat təminatını və proqram bütövlüyünü uzaqdan rəsmi serverlər vasitəsilə yoxlayır və tətbiqə "bu cihaz etibarlıdır" və ya "bu cihaz təhlükəlidir" şəklində rəqəmsal olaraq imzalanmış cavab qaytarır.
Əgər cihazın təhlükəsizlik bütövlüyü pozulubsa, tətbiq daxili təhlükəsizlik qaydalarına əsasən dərhal həssas əməliyyatları dondurur, istifadəçini xəbərdar edir və ya proqramın işini tamamilə dayandırır.
Mobil tətbiqlərdə cihaz təhlükəsizliyi
Страница: 1
Сообщений 1 страница 1 из 1
Поделиться1Сегодня 04:57:10
Страница: 1



