• Ma’lumotlarni uzatishda ishlatiluvchi texnologiyalarning turi bo’yicha
  • 7.2. Mobil ilovalarning namunaviy zaifliklari va ulardan himoyalanish choralari
    		•

    Ilovaning joylashgan joyi bo’yicha




    Download 2,59 Mb.
    Pdf ko'rish
    bet35/55
    Sana20.11.2023
    Hajmi2,59 Mb.
    #101929
    1   ...   31   32   33   34   35   36   37   38   ...   55
    Bog'liq
    10.-S.K.GanievT.A.Kuchkarov.TarmoqxavfsizligiMobiltarmoqxavfsizligi

    Ilovaning joylashgan joyi bo’yicha: 
    - SIM-ilovalar - SIM Application Toolkit (STK) standartga muvofiq 
    yozilgan SIM-kartadagi ilovalar; 
    - Web-ilovalar – Web-saytlar uchun maxsus versiyalar; 
    - muayyan operatsion tizim uchun ishlab chiqilgan mobil ilovalar. 
    Muayyan operatsion tizim uchun mobil ilovalar API (application 
    programming interface) tatbiqiy dasturlash interfeysidan foydalanib ishlab 
    chiqiladi. API – smartfonga o’rnatiluvchi ilovalar (biblioteka, servis) 
    taqdim etuvchi tayyor muolajalar, funksiyalar, strukturalar va konstantalar 
    nabori. 
    Ma’lumotlarni uzatishda ishlatiluvchi texnologiyalarning turi 
    bo’yicha: 
    - tarmoq ilovalari - TCP/IP protokoli ustidan aloqaning xususiy 
    aloqa protokolini, masalan HTTP ni ishlatadi; 
    - SIM-ilovalar - SMS (Short Messaging Service) asosidagi ilovalar; 
    - server bilan almashish uchun ilovalar (qisqa matnli xabarlar 
    ko’rinishida); 
    - USSD-ilovalar - USSD (Unstructured Supplementary Service Data) 
    asosidagi ilovalar. Servis SMS ga o’xshash, ammo qator farqlanishga ega, 
    qisqa xabarlarni uzatishga asoslanadi; 
    - IVR-ilovalar – IVR (Interactive Voice Response) texnologiyasiga 
    asoslanuvchi ilovalar. Texnologiya oldindan yozilgan tovushli xabarlarga 
    va tovush naboriga asoslangan. 
    7.2. Mobil ilovalarning namunaviy zaifliklari 
    va ulardan himoyalanish choralari 
    Kompaniyalar va tashkilotlar mobil texnologiyalardan xodimlar 
    ishining unumdorligini va korporativ tizim samaradorligini oshirish 
    maqsadida foydalanadilar. Ammo, xakerlar suqilib kirishning va mobil 
    ilovalar orqali konfidensial axborotdan foydalanishning yangi usullarini 
    topadilar. Ilovalarni ishlab chiqaruvchilari va foydalanuvchilari, mobil 
    ilovalarni noto’g’ri konfiguratsiyalash natijasidagi, mobil qurilmalar 
    xavfsizligining buzilishini bilib qoladilar. So’z, mobil tizimlarining 
    umumiy xavfsizligining jiddiy kamaytiruvchi ilova himoyasidagi 
    bo’shliqlar to’plami xususida boradi. Bu kodni va xavfsizlik 
    konfiguratsiyasi to’liq tekshirmasdan mobil ilovalarning bozorga 

    88 
    chiqarilishi tufayli sodir bo’ladi. Shuning uchun, ishlab chiqaruvchilar va 
    foydalanuvchilar mobil qurilmalarning eng ko’p tarqalgan zaifliklari va 
    ular bilan doimiy kurashishning eng mukammal usullarini bilishlari muhim 
    hisoblanadi. 
    Quyida mobil ilovalar va qurilmalar moyil 10 ta asosiy zaifliklar va 
    ulardan himoyalanish choralari bo’yicha takliflar bayon etilgan. 
    1. Arxitekturaviy cheklashlarni chetlab o’tish 
    (Improper Platform Usage). 
    Zaifliklarning ushbu kategoriyasi operatsion tizim (platforma) va 
    platforma xavfsizligini boshqarishni nazoratlash tizimida o’rnatilgan 
    cheklashlarni chetlab o’tishning o’ziga xos xususiyatlaridan foydalanadi. 
    Ushbu zaiflik Android va iOS platformalariga va boshqa mobil operatsion 
    tizimlarga xos. 
    Takliflar. Mobil ilovaning server qismida dasturiy kodni qurishning 
    va konfiguratsiyalashning xavfsiz usullaridan foydalanish lozim. Xususan, 
    API-interfeys uni chaqiruvchi shaxsning identifikatsiyasini va vakolatini 
    ishonarli tekshirishi lozim. 
    2. Ma’lumotlarni xavfli saqlash (Insecure Data Storage). 
    Ishlab chiqaruvchilar jamoasi, foydalanuvchilar yoki zararli kod 
    konfidensial axborot saqlanuvchi mobil qurilmalarning fayl tizimidan 
    foydalana olmaydilar deb hisoblaydilar. Ammo, fayl tizimini chetlab o’tish 
    va unga suqilib kirishning ko’pgina usullari mavjud: 
    - ilova yaratuvchi fayllar uchun foydalanish huquqlarini noto’g’ri 
    belgilash. Testlash bosqichida (ishlab chiqaruvchilar) foydalanish 
    huquqlarini ko’pincha belgilaydilar va ularni dasturiy mahsulotni yakuniy 
    chiqarishda tahrirlashni unutadilar. Natijada niyati buzuqlarda ruhsatsiz 
    foydalanishga imkoniyat paydo bo’ladi; 
    - SD-kartada muhim ma’lumotlarni saqlash. Foydalanuvchilar 
    ko’pincha muhim ma’lumotlarni SD-kartada saqlaydilar. Bunday 
    ma’lumotlardan barcha ilovalar foydalanishlari mumkinligini unutadilar; 
    - jurnallashtirish. Jurnallar mobil operatsion tizimda sodir bo’ladigan 
    barcha hodisalar xususidagi yozuvlarni ro’yxatga oluvchi fayllardan iborat. 
    Android da har qanday ilova o’rnatilishida jurnallarni o’qish huquqini 
    talab etishi mumkin. Foydalanuvchilarning ko’pchiligi bunga e’tibor 
    bermaydilar. Xavflilik shundan iboratki, foydalanuvchi tomonidan 
    jurnallarni o’qish huquqini olgan har qanday o’rnatiluvchi ilova barcha 
    axborotni o’qish huquqini oladi. Ko’pincha jurnallarga shifrlanmagan 
    sozlash axboroti va shaxsiy ma’lumotlar tushib qoladi; 

    89 
    - superfoydalanuvchi (ma’mur) huquqlarini olish. Smartfon 
    foydalanuvchilari, begona ilovalarni o’rnatish imkoniyatini ta’minlash 
    maqsadida, ko’pincha qurilmaning fayl tizimidan to’laqonli foydalanishga 
    intiladilar. Apple kompaniyasining mobil qurilmalarida ushbu muolaja Jail 
    Break, 
    Android-cmartfonlarda 
    esa 
    Root-huquqlarni 
    (yoki 
    superfoydalanuvchi huquqlarini) olish deb ataladi. Ta’kidlash lozimki, Jail 
    Break root oddiy opsiya bo’lmay, qurilmaning barcha xavfsizlik tizimining 
    komprometatsiyasi hisoblanadi. 

    Download 2,59 Mb.
    1   ...   31   32   33   34   35   36   37   38   ...   55




    Download 2,59 Mb.
    Pdf ko'rish