|
O’tanmuratov Jo’rabekning Kiberxavfsizlik fanidan 2-mustaqil ishi. Mavzu: Mobil ilovalarga hujumlar
|
Sana | 09.12.2023 | Hajmi | 22,16 Kb. | | #114621 |
Bog'liq 2-mustaqil ish kiberxavfsizlik
130-20-guruh talabasi
O’tanmuratov Jo’rabekning
Kiberxavfsizlik fanidan 2-mustaqil ishi.
Mavzu: Mobil ilovalarga hujumlar.
Mobil qurilmalarga mo'ljallangan zararli dastur xavfsizlikka jiddiy xavf tug'dirishi mumkin. U ko'pincha qonuniy dasturiy ta'minot sifatida yashiringan zararli ilovalar ko'rinishida keladi. O'rnatilgandan so'ng, bunday zararli dastur nozik ma'lumotlarni o'g'irlashi, foydalanuvchi faoliyatini kuzatishi va hatto qurilmani boshqarishi mumkin.
Mobil zararli dasturlarning keng tarqalgan turlariga quyidagilar kiradi:
1. Troyanlar: Bular qonuniy ilovalar sifatida yashiringan, lekin foydalanuvchi roziligisiz shaxsiy ma'lumotlarni o'g'irlash yoki yuqori darajadagi matnli xabarlarni yuborish kabi turli zararli harakatlarni amalga oshirishi mumkin bo'lgan zararli kodlarni o'z ichiga oladi.
2. Spyware: Bu turdagi zararli dastur foydalanuvchi ma'lumotlarini, jumladan, parollar, ko'rish odatlari va shaxsiy aloqalarni yashirin kuzatish va to'plash uchun mo'ljallangan.
3. Ransomware: Mobil ransomware qurilma fayllarini shifrlashi yoki qurilmani bloklashi, keyin kirishni tiklash uchun to‘lovni talab qilishi mumkin.
Zararli dasturlardan himoyalanish uchun foydalanuvchilar ilovalarni faqat ishonchli manbalardan yuklab olishlari, operatsion tizimi va ilovalarini eng so‘nggi xavfsizlik yamoqlari bilan yangilab turishlari va obro‘li mobil xavfsizlik dasturidan foydalanishni o‘ylab ko‘rishlari kerak. Ishlab chiquvchilar xavfsiz kodlash amaliyotiga rioya qilishlari va o'z ilovalariga zararli dasturlarni kiritish xavfini kamaytirish uchun muntazam xavfsizlik testlarini o'tkazishlari kerak.
Man-in-the-Middle (MITM) hujumida tajovuzkor ikki tomon o'rtasidagi aloqani ularning bilmaganisiz yashirincha to'xtatadi va ehtimol o'zgartiradi. Bu tajovuzkorga kirish ma'lumotlari, moliyaviy ma'lumotlar yoki shaxsiy suhbatlar kabi nozik ma'lumotlarni tinglash imkonini beradi.
MITM hujumlari turli kontekstlarda sodir bo'lishi mumkin, masalan:
1. Umumiy Wi-Fi tarmoqlari: Buzg‘unchilar foydalanuvchi va veb-sayt, ilova yoki xizmat o‘rtasida uzatiladigan ma’lumotlarni ushlab qolish uchun xavfsiz bo‘lmagan umumiy Wi-Fi’dan foydalanishi mumkin.
2. Fishing: Buzg'unchilar foydalanuvchilarni qonuniy ko'rinadigan zararli veb-saytlarga yo'naltirish uchun Domen nomlari tizimini (DNS) manipulyatsiya qilishlari mumkin va bu jarayonda ularning maxfiy ma'lumotlarini ushlashlari mumkin.
3. Zararli dasturiy ta'minot: Buzilgan qurilma aloqalarni ushlab turish va manipulyatsiya qilish uchun ishlatilishi mumkin.
MITM hujumlari xavfini kamaytirish uchun shaxslar va tashkilotlar quyidagi choralarni ko'rishlari mumkin:
1. HTTPS kabi shifrlangan aloqa protokollaridan foydalaning, ular ma'lumotlarni ushlash va buzishdan himoya qatlamini ta'minlaydi.
2. Ishonchli virtual xususiy tarmoqdan (VPN) foydalanilmasa, maxfiy tranzaktsiyalar uchun himoyalanmagan umumiy Wi-Fi tarmoqlaridan foydalanmang.
3. Buzg'unchilar foydalanishi mumkin bo'lgan zaifliklarni kamaytirish uchun dasturiy ta'minot va xavfsizlik tuzatishlarini yangilab turing.
4. Internetda ehtiyotkorona xatti-harakatlarni mashq qiling, masalan, URL manzillarini sinchkovlik bilan tekshirish va fishingga urinishlardan ehtiyot bo'ling.
Potentsial tahdidlardan xabardor bo'lish va tegishli xavfsizlik amaliyotlarini qo'llash orqali shaxslar va tashkilotlar MITM hujumlari qurboni bo'lish xavfini kamaytirishi mumkin.
Mobil ilovalarga fishing hujumlari qonuniy mobil ilovalarni taqlid qilish yoki soxta ilovalar yaratish orqali login hisob maʼlumotlari, moliyaviy maʼlumotlar yoki shaxsiy maʼlumotlar kabi maxfiy maʼlumotlarni olishga boʻlgan firibgarlik urinishlarini oʻz ichiga oladi. Ushbu hujumlar foydalanuvchilarni turli usullar bilan nishonga olishi mumkin, jumladan:
1. Soxta ilovalarni yuklab olish: Buzg'unchilar mashhur ilovalarning qalbaki versiyalarini yaratadilar va ularni norasmiy ilovalar do'konlarida yoki zararli havolalar orqali nashr etadilar, foydalanuvchilarni aldab ularni o'rnatishadi va keyin ularning ma'lumotlarini qo'lga kiritadilar.
2. SMS va xabar almashish firibgarlari: tajovuzkorlar yolg‘on xabarlar yuborishi yoki xabar almashish ilovalaridagi fishing havolalaridan foydalanib, foydalanuvchilarni soxta login sahifalari yoki shakllariga olib kelishi mumkin, bunda ular o‘zlari bilmagan holda o‘z hisob ma’lumotlarini oshkor qilishadi.
3. Ijtimoiy muhandislik: Fisherlar inson psixologiyasidan foydalanib, foydalanuvchilarni o'zlarining maxfiy ma'lumotlarini, ko'pincha ishonchli manbalardan kelgan yolg'on xabarlar yoki bildirishnomalar orqali o'z ixtiyori bilan taqdim etish uchun ishlatadilar. Mobil ilovalardagi fishing hujumlaridan himoyalanish uchun foydalanuvchilar quyidagi ehtiyot choralarini ko‘rishlari mumkin:
1. Soxta yoki zararli dasturlarni o'rnatish xavfini kamaytirish uchun faqat rasmiy ilovalar do'konlaridan ilovalarni yuklab oling.
2. Kirish ruxsatini berishdan oldin ilova ruxsatlarini diqqat bilan ko‘rib chiqing, chunki fishing ilovalari g‘arazli maqsadlar uchun haddan tashqari ruxsat so‘rashi mumkin.
3. Elektron pochta xabarlari, xabarlar yoki bildirishnomalar kabi mobil ilova aloqalarining, ayniqsa, maxfiy maʼlumotlar yoki shubhali koʻrinadigan harakatlar soʻrovlarining haqiqiyligini tekshiring.
4. Ruxsatsiz kirishdan qo'shimcha himoya qatlamini qo'shish uchun mavjud bo'lganda ikki faktorli autentifikatsiya (2FA) kabi xavfsizlik xususiyatlaridan foydalaning.
Ehtiyotkorlik va potentsial fishing tahdidlari haqida xabardor bo'lish orqali mobil ilova foydalanuvchilari bunday hujumlarga nisbatan zaifligini sezilarli darajada kamaytirishi mumkin. Bundan tashqari, ilova ishlab chiquvchilari va platforma provayderlari o'z ekotizimlarini himoya qilish va foydalanuvchilarni potentsial tahdidlar haqida o'rgatishda muhim rol o'ynaydi.
Shaxsiy ma'lumotlar, moliyaviy ma'lumotlar yoki login hisob ma'lumotlari kabi nozik ma'lumotlar noto'g'ri ishlov berilganda yoki uzatilganda mobil ilovalarda ma'lumotlar sizib chiqishi mumkin. Bu, agar ilova yuboradigan va qabul qiladigan maʼlumotlarni himoya qilish uchun shifrlashdan foydalanmasa, maʼlumotlarni xavfsiz saqlasa yoki foydalanuvchi roziligisiz uchinchi shaxslar bilan baham koʻrsa sodir boʻlishi mumkin. Mobil ilovalarda ma'lumotlar sizib chiqishining oldini olish uchun ishlab chiquvchilar xavfsiz kodlash bo'yicha eng yaxshi amaliyotlarga rioya qilishlari, nozik ma'lumotlar uchun shifrlashdan foydalanishlari va xavfsizlikni sinchkovlik bilan o'tkazishlari kerak. Bundan tashqari, faqat kerakli ma'lumotlar to'plangan va saqlanadigan ma'lumotlarni minimallashtirish tamoyillarini amalga oshirish ma'lumotlarning sizib chiqishi xavfini kamaytirishga yordam beradi. Agar sizga mobil ilovalar xavfsizligi bo'yicha qo'shimcha ma'lumot kerak bo'lsa, aniq maslahat so'rang!
Mobil ilovalarga ruxsatsiz kirish, kimdir kerakli ruxsatlar yoki hisobga olish ma'lumotlariga ega bo'lmagan holda ilovaga yoki uning ma'lumotlariga kirishda yuzaga keladi. Bu maxfiylikning buzilishiga, foydalanuvchi hisoblari buzilganiga va maxfiy ma'lumotlarning oshkor etilishiga olib kelishi mumkin. Ruxsatsiz kirishga qarshi kurashish uchun ishlab chiquvchilar ko'p faktorli autentifikatsiya va xavfsiz token bilan ishlash kabi kuchli autentifikatsiya choralarini qo'llashlari kerak. Bundan tashqari, muntazam xavfsizlik yangilanishlari va monitoringi potentsial zaifliklarni aniqlash va yumshatishga yordam beradi.
Bundan tashqari, ruxsatsiz kirishning oldini olishda foydalanuvchilarni o'qitish juda muhimdir. Foydalanuvchilarni kuchli, noyob parollardan foydalanishga va ilovalarga ruxsat berishda ehtiyot bo'lishga undash kerak.
Agar sizga mobil ilovangizni ruxsatsiz kirishdan himoya qilish bo'yicha aniq maslahat kerak bo'lsa, batafsilroq maslahat so'rang!
Mobil ilovalarga hujumlar katta tashvish tug'diradi va 2022 yilda va undan keyin ham rivojlanishda davom etishi kutilmoqda. Mobil ilovalarga hujumlarning keng tarqalgan shakllariga quyidagilar kiradi:
1. Zararli dastur: Qurilma yoki tarmoqqa kirib borish yoki zarar etkazish uchun mo'ljallangan zararli dastur.
2. Fishing: foydalanuvchi nomlari, parollar va kredit karta ma'lumotlari kabi maxfiy ma'lumotlarni ko'pincha soxta kirish sahifalari yoki xabarlar orqali olishga urinishlar.
3. O'rtadagi odam hujumlari: ikki tomon o'rtasidagi aloqani to'xtatib turish, axborot o'g'irlanishi yoki manipulyatsiyasiga olib keladi.
4. Ma'lumotlarning oqishi: foydalanuvchining nozik ma'lumotlariga ruxsatsiz kirish yoki ularga ta'sir qilish.
Ushbu xavflarni kamaytirish uchun ishlab chiquvchilar va foydalanuvchilar ishonchli autentifikatsiya, maʼlumotlarni xavfsiz shifrlash, muntazam xavfsizlik tekshiruvlari va mobil ilovalardan xavfsiz foydalanish boʻyicha foydalanuvchilarni oʻqitish kabi xavfsizlik boʻyicha eng yaxshi amaliyotlardan xabardor boʻlishlari kerak. Mobil ilovalar hujumlari haqidagi eng soʻnggi va aniq statistik maʼlumotlar uchun men nufuzli kiberxavfsizlik hisobotlariga yoki Verizon, Symantec yoki Ponemon instituti kabi tashkilotlarga murojaat qilishni tavsiya qilaman.
|
| |