‫ ارزيابي امنيتي برنامه هاي كاربردي تلفن همراه (بخش دوم)- تست برنامه(قسمت 2)

 

شماره: IRCAR201506270
تاريخ: 04/06/94
 
تست بر اساس الزامات
بررسي و ارزيابي برنامه كاربردي بايد به گونه اي باشد كه بر اساس خروجي حاصله بتوان تصميم گيري كرد كه آيا الزامات نقض مي شود يا خير. در نهايت امر اين نتايج كمك خواهد كرد كه بر اساس الزامات خاص سازمان ها و سطوح پذيرش ريسك سازمان بتوان در خصوص پذيرش برنامه يا رد شدن آن تصميم گيري كرد.
الزامات
چه ملاحظاتي بايد در نظر گرفته شود
انجام عملكردهاي مجاز
تست واسط كاربري ( نمايشگر، كيبورد مجازي، دكمه ها).
تست تمامي ويژگي هاي فيزيكي كه توسط برنامه مورد استفاده قرار مي گيرد ( دوربين، GPS، ميكروفون، ارتباط بين دستگاه ها).
اطمينان حاصل شود كه تماس ها و پيام ها براي انجام عملكردهاي برنامه مورد استفاده قرار نمي گيرد.
اطمينان حاصل شود كه تمامي اين ويژگي ها تنها براي اهداف تعيين شده استفاده خواهد شد.
پيشگيري از عملكردهاي غيرمجاز
بررسي برنامه به منظور يافتن عملكردهاي مخرب عمدي كه امنيت را نقض مي كنند ( توابعي كه فعاليت مخرب دارند، اطلاعات را سرقت مي كنند، راه نفوذي براي حملات باز مي كنند).
بنرهاي تبليغاتي گاهي اوقات براي فريب كاربران و اجراي حملات سرقت هويت استفاده مي شوند.
تشخيص بدافزار مهم است اما نمي توان ضمانت 100 درصدي داد.
اطمينان حاصل شود كه برنامه تراكنشي با سايت هاي نامعتبر، دامنه ها يا سرورها ندارد.
محدودسازي مجوزها
اطمينان حاصل شود كه برنامه مجوزهاي بيش از اندازه نداشته باشد. حداقل دسترسي ها براي انجام امور مورد نظر كفايت مي كند.
داشتن مجوزهاي بيشتر به معني امنيت كمتر خواهد بود و ريسك مخاطرات امنيتي را افزايش مي دهد.
بايد نگاهي به مجوزهاي زير انداخت و لزوم اعطاي هر يك از آن ها را به دقت بررسي كرد:
·         دسترسي به داده هاي حساس و ذخيره سازي آن ها( آدرس بوك، تماس ها، رمز عبور و ...)
·         دسترسي به دوربين
·         دسترسي به ميكروفون
·         فايل هاي ورودي و خروجي و ذخيره سازهاي متحرك (دسترسي به فايل ها)
·         دستورات اعطاي حق دسترسي ( مي توان با فعال كرد اين دستورات به سيستم غيرمجاز حق دسترسي اعطا كرد و حملاتي را راه اندازي كرد)
·         APIها بايد به دقت بررسي شوند و تنها مجوزهاي لازم را داشته باشند
حفاظت از داده هاي حساس
اغلب برنامه ها اطلاعات حساس را در يك قالب پردازش مي كنند. اين امر در صورتي مورد قبول است كه رويه هاي رمزگذاري مناسب به منظور اطمينان از امن باقي ماندن داده ها به كار برده شود.
رمزگذاري معتبر بايد استفاده شود و بايد به درستي پياده سازي شده و از مديريت كليد مناسب استفاده گردد.
گواهينامه هاي ديجيتال بايد هميشه به موقع اعتبارسنجي شوند.
بايد به نشت داده از طريق مسير شبكه غيرمجاز توجه داشت ( سلولي، واي فاي، بلوتوث، سيستم لاگ هاي به اشتراك گذارده شده).
توصيه مي شود كه لاگ هاي برنامه بررسي شود تا نوع داده اي كه ممكن است نشت پيدا كند مشخص گردد.
امن سازي كد برنامه
اطمينان حاصل شود كه برنامه از كد ناامن استفاده نمي كند. بايد توجه داشت كه تنها در مواردي كه واقعا ضروري بوده از كتابخانه خارجي استفاده شده است (توجه به كلاس ها و كتابخانه هاي خارجي، رفتارهاي پويا، فراخوان هاي محلي و برنامه هايي كه با يكديگر ارتباط دارند).
اگرچه اين رفتارها مي تواند بهره مندي را افزايش دهد اما مي تواند منجر به يك ريسك امنيتي بزرگ شود. در نتيجه عملكرد بايد به دقت مورد بررسي قرار گيرد و تنها در صورت امن بودن روش از آن استفاده شود.
تست به روز رساني هاي برنامه
به روز رساني ها بايد هميشه مورد بررسي قرار گيرند تا آسيب پذيري هاي جديد يا ضعف هاي جديد شناسايي شود. اين امر بايد پيش از دانلود به روز رساني ها بر روي دستگاه سيار صورت گيرد.
مديريت دستگاه هاي سيار در سازمان ها با توجه به تست به روز رساني ها، بخش مهمي را تشكيل مي دهند. برخي از خط مشي ها اجراي به روز رساني هاي غيرمشروط را اجازه مي دهند. تا حد امكان بايد از اين روند پرهيز كرد.
به روز رساني ها بايد به گونه اي تنظيم شوند كه قبل از نصب پيش مجوز بخواهند. اين امر باعث مي شود تا بتوان قبل از نصب آن ها را مورد بررسي و ارزيابي قرار داد.
 
روش هاي تست
براي ارزيابي برنامه هاي كاربردي مي توان از روش هاي مختلف تست استفاده كرد. در زير تعدادي از روش هاي تست آورده شده است. توضيحات كامل تر اين روش ها در قسمت بعدي مقاله تشريح خواهد شد.
اين روش ها عبارتند از:
·         تست صحت و درستي
·         تجزيه و تحليل كد باينري يا كد منبع
·         تجزيه و تحليل پويا يا ايستا
·         تست دستي
·         تست خودكار
نتيجه گيري
تست ويژگي هاي امنيتي برنامه هاي كاربردي و پايايي آن به منظور حصول اطمينان از امنيت دستگاه هاي سيار از اهميت ويژه اي برخوردار است. سرعت بالاي انتشار برنامه هاي كاربردي باعث مي شود تا برخي اشتباهات و مشكلات امنيتي در برنامه ها ايجاد شده و در نتيجه فاكتور افشاء و ريسك افزايش يابد.
بدين منظور ساختن يك چرخه ارتقاء با روش هاي تست سختگيرانه براي اطمينان از طراحي مناسب و امن برنامه، يك استراتژي كليدي محسوب مي شود. هم چنين ارزيابي هاي مستقل آسيب پذيري و تست نفوذ برنامه كاربردي پيش از انتشار برنامه  اكيدا توصيه مي شود.
مطالب مرتبط:
 
منابع:

 


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 8 شهریور 1394

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0