90
boshqa vaziyatlar mavjudki, ma’lumotlar kuzatiladi, nusxalanadi,
keshlanadi, ro’yxatga olinadi, ekran tasviri va rezerv nusxa yaratiladi.
Ushbu kategoriya oxirgi foydalanuvchinining autentifikatsiyasiga
yoki seanslarni noto’g’ri boshqarishga taalluqli. Quyidagilarni o’z ichiga
oladi:
- ilova bilan anonim ishlash. Mobil ilovaning himoyalanganligiga
talablar web-ilovalar himoyalanganligiga qo’yilgan talablardan farqlanadi.
Faraz qilinadiki, foydalanuvchi oflayn rejimida ishlashi mumkin. Shu
sababli, ko’pincha ma’lumotlarni keyinchalik
sessiyali cookie-fayllarda
saqlash orqali onlayn-avtorizatsiya ishlatiladi. Identifikatsiya ma’lumotlari
(login
va
parol)
kiritilganidan
va
ilova
foydalanuvchini
avtorizatsiyalaganidan so’ng, maxsus identifikatorni saqlaydi. Ushbu
identifikator ilova tomonidan keluvchi har bir so’rovda serverga taqdim
etiladi. Agar niyati buzuq foydalanuvchi identifikatorini olgan va tizimda
sessiyaning IP-adresini yoki sessiya doirasida bittadan ortiq ulanish
mavjudligini tekshirish muolajasi amalga oshirilmagan bo’lsa, niyati
buzuq foydalanuvchi akkaunti huquqlari bilan tizimdan foydalanishi
mumkin;
- kuchsiz parollar. Mobil ilovalarda parollar uzun bo’lishi kerak emas
va aksariyat ilovalar to’rt simvolli parollarni yaratishga ruhsat beradi.
Bunda parollar aksariyat hollarda shifrlanmay xeshlangan ko’rinishda
bazaga joylashtiriladi. Agar niyati buzuq ma’lumotlar bazasidan
foydalanishga ruxsat olgan bo’lsa, tayyor xesh-jadval
yordamida parolni
deshifrlash uning uchun qiyinchilik tug’dirmaydi.
Takliflar. Ushbu tur zaifliklar uchun xavfsizlikni ta’minlash bo’yicha
choralar:
- mobil ilovadagi autentifikatsiya web-versiyaga mos bo’lishi lozim;
- uzunligi 6 simvoldan ortiq murakkab parollarni yaratish;
- qurilmani mobil qurilmani boshqarish qurilmasi (mobile-device
management, MDM) yoki mobil ilovalar (mobile-application management,
MAM) yordamida nazoratlash.
5. Kuchsiz kriptografik bardoshlik (Insufficient Cryptography)
Mobil ilova kuchsiz va g’animlar echa oladigan algoritmdan
foydalanishlari mumkin. Chunki ishlab chiqilgan arxitektura jiddiy
nuqsonlarga ega yoki kalitlarni boshqarish jarayoni yomon tashkil etilgan.
Taklif.
Axborotni
himoyalashda
murakkab
kriptografik
muolajalardan foydalanish kerak.
6. Xavfli avtorizatsiya (Insecure Authorization)
91
Ushbu kategoriya avtorizatsiyaning kamchiligini tavsiflaydi (mijoz
tomonidagi tekshiruv, majburiy ko’zdan kechirish va h.).
Takliflar. Ilova foydalanuvchilarning haqiqiyligini tekshirishdan
o’tishi lozim (masalan, haqiqiylikni tekshirmasdan va ruxsatsiz
foydalanishni taqiqlamasdan ba’zi resurslarga yoki xizmatlarga anonim
foydalanishni taqdim etmaslik).
7. Mijoz ilovalari tarkibining nazorati (Client Code Quality)
Muammo server-sayt ilovalarda kodni yozish va uni amalga
oshirishdan farqlanuvchi mijoz-sayt ilovalarda dasturiy kodni yozish
texnologiyasini amalga oshirishning o’ziga xos xususiyatidan iborat.
Bularga quyidagilar taalluqli: buferning to’lib-toshishi,
format string
zaifliklar, hamda kod darajasidagi xatoliklar. Mobil qurilmalarda ishlovchi
kodni qayta yozish masalaning yechimi hisoblanadi. Zararli kod mobil
ilovalarni o’zgartira olmaydi degan xato fikr keng tarqalgan.
Takliflar. Ilovalarni turg’un holatida va bajarilishi davrida suqilib
kirishdan himoyalash. Ilovalarning kirish ma’lumotlarini va API-
interfeyslarni tekshirish, konfidensial axborotning yaxlitligini tekshirish.
WebView dan foydalanishda ehtiyot bo’lish lozim, chunki u saytlararo
skriping (XSS) kabi zaifliklarni yaratishi mumkin.
8. Ma’lumotlarning modifikatsiyasi (Code Tampering)
Ushbu kategoriya bajariluvchi fayllarning, lokal resurslarning
o’zgarishini, begona jarayon
chaqiruvlarini ushlab qolishni, runtime
usullarni almashtirishini va xotirani dinamik modifikatsiyasini tavsiflaydi.
Ilova o’rnatilganidan so’ng, uning kodi qurilma xotirasida rezident
bo’lib qoladi. Bu zararli ilovaga kodni, xotira tarkibini o’zgartirishga
APIning tizimli usullarini o’zgartirishga yoki almashtirishga, ilova
ma’lumotlarini va resurslarini o’zgartirishga imkon beradi. Bularning
hammasi niyati buzuqqa noqonuniy harakatlar qilish, ma’lumotlarni
o’g’irlash yoki boshqa moliyaviy foydani olish
uchun begona ilovalarni
manipulyasiyalash imkonini ta’minlaydi.
Takliflar. Ma’lumotlar manbalariga hech qachon ishonish kerak
emas. Ularni yetarli darajada, xususan autentifikatsiya, avtorizatsiya,
yaxlitlikni tekshirish, shifrlash va boshqa mexanizmlardan foydalanib,
soxtalashtirilishidan va suiiste’mol qilinishidan himoyalash zarur.
9. Dastlabki kodning tahlili (Reverse engineering)
Hujumchilar
server
servislaridan
foydalanish
uchun
autentifikatsiyalashda sessiyaning hisob ma’lumotlarini ishlatishlari va
92
muayyan foydalanuvchi nomidan harakatlarni
amalga oshirishlari
mumkin.
Takliflar. Serverda va mijozdagi sessiyalar uchun cookie harakatlari
vaqtini cheklash mexanizmini ishlatish lozim. Umumiy holda vaqtni bir
soatga yoki undan qisqaga cheklash taklif etiladi. Autentifikatsiya talab
qilinganida har bir foydalanuvchi uchun server yangi sessiyani ochishi
zarur. Takroran ishlatilishini bartaraf etish uchun serverdagi oldingi
sessiyalar yo’q qilinishi yoki bekor qilinishi lozim.
10. Yashirin funksional (Extraneous Functionality)
Ishlab chiqaruvchilar ko’pincha ilovalar kodiga, funksionalligi
umumfoydalanishga mo’ljallangan, yashirin
funksional imkoniyatlarni,
bekdorlarni yoki boshqa mexanizmlarni kiritishadi. Ushbu kategoriyaga
ma’lum ta’rif "security through obscurity" (noaniqlik orqali xavfsizlik)
to’g’ri keladi. Xaker iborasi bilan aytganda, bu operatsion tizim
sotuvchilarining aksariyati xavfsizlik tizimini tuynuklar bilan sotishidan
iborat. Tabiiyki, ushbu tuynuklar xususida hujjatlarda so’z bo’lmaydi.
Ushbu tuynuklar uzoq vaqt sezilmasdan qolmaydi. Ushbu tuynuklardan
foydalanuvchi xakerlar doim topiladi.
Takliflar. Ilovalarni himoyalashning o’ziga xos xususiyati tahdid
xarakteriga va mobil platformasiga bog’liq. Ilovalar ishlatilishi jarayonida
himoyalangan bo’lishi uchun, resurslarning
va dastlabki kodning
modifikatsiyalanishini bartaraf etishi mumkin bo’lgan yaxlitlikni tekshirish
lozim.
