فئات الخطر الرئيسية لتهديدات امان الهاتف المحمول و كيفية تجنب الهجمات و الحماية منها - Programmer Tech

Programmer Tech

تعلم البرمجة - علوم الكمبيوتر - أمن المعلومات - القرصنة الأخلاقية

إعلان اعلى المقالة

الأربعاء، 16 ديسمبر 2020

فئات الخطر الرئيسية لتهديدات امان الهاتف المحمول و كيفية تجنب الهجمات و الحماية منها

 

مخاطر و تهديدات مهاجمة الهاتف المحمول

في الوقت الحالي تسيطر أجهزة الهواتف المحمولة على إستخدامات و عادات المستهلك سواء من منظور فردي أو مؤسساتي و لهذا يمكن إيجادها في كل مكان.

من هذا المنطلق علينا أن نعرف المخاطر التي تهدد هذا الإستخدام لنحمي أنفسنا منها.

 

فئات الخطر الرئيسية الخاصة بالتطبيقات

في البداية نقصد بفئات الخطر الأشياء التي قد تعرضنا للخطر عند استخدم التطبيقات الموجودة في الهاتف.

يمكن تقسيم فئات الخطر الأساسية الخاصة بتطبيقات الهاتف المحمول إلى خمس فئات: 

1- جهاز الهاتف (Mobile Device).
2- أمان الشبكة (Network).
3- مخدم الويب (Web Server).
4- امان قاعدة البيانات (Database).
5- إجراءات أمان التطبيق (App Management).

 

تهديدات الهاتف المحمول (Mobile Device Threats)

1- تخزين البيانات: ما إذا كانت البيانات على الجهاز مشفرة أم لا.

2- نقل البيانات: يمكن الحديث عن https مقابل http و ftps مقابل ftp المحمي أي هل يستخدم التطبيق بروتوكولاً محمياً أم بروتوكولاً مفتوحاً.

3- الهندسة العكسية: هي أمر مهم جداً عندما نتحدث عن تطبيقات الهاتف المحمول هل هناك حماية ثنائية و إذا كان الجواب لا, يمكن لأي شخص الحصول على إمكانية الدخول الى تطبيق الهاتف و عمل الهندسة العكسية على كود المصدر و معرفة تفاصيل بناء التطبيق و أكثر من ذلك.

4- إدارة الوصول إلى التطبيق حين تحمّلون تطبيق فأنتم تمنحونه الوصول إلى الموارد المحلية إذاً هل يملك التطبيق إمكانية الوصول فقط إلى الموارد التي يحتاجها ام أنه لديه إمكانية وصول أكبر, أما أسطح هجمات الهاتف المحمول الأخرى هي سلسلة الشبكة ذاتها.

 

تهديدات الشبكة Network Threats

نتحدث هنا بصورة محددة عن https مقابل http و استخدام TSL و SSL لأننا إذا فعلنا ذلك فهو سيغطي كل مشاكل توصيل الويرلس, سوف تقومون بمنع القراصنة من القيام بأي جلسات hijacking(هي طريقة إختراق أو إستيلاء على الشبكة للتحكم بها و ذلك عن طريق عنوان الشبكة IP) أو إختطاف الجلسة و السبوفينغ و محاكاة الـ DNS لذا علينا معرفة كيفية عمل هذه التقنيات, لكن مجرد إستخدام SSL لا يعني أنكم بأمان لأن فك شيفرة SSL أمر لا يصعب على القراصنة المحترفين سيتعاملون معه على أنه غير موجود من الأساس لذا علينا معرفة كيفية إستخدام SSL في تطبيقات الهاتف المحمول.

 

تهديدات خادم الويب Web server Threats

هل هناك أي عمليات يمكن إعتبارها نقاط هامة لأمان النظام؟

هل هنالك عملية تسند الأدوار و المسؤوليات للناس الذين يتولون أمر العمل الذين يعملون به على الخادم؟

هل نستخدم عمليات لتخفيف هجمات DDOS؟

هل لدينا سياسة كلمة مرور لتقفل الحسابات التي تقوم بمحاولة عمل هجمات بروت فورس بإستخدام كلمات مرور غير صحيحة.

هذه تكون لكشف مخاطر لا ترتبط فقط بهجمات الهاتف المحمول لكن من المهم ذكرها هنا.

 

تهديدات قاعدة البيانات Database Threats

من لديه إمكانية الوصول إلى بياناتنا و من يمكنه إستخدام حسابات ذات إمتيازات؟

هل نقوم بتعقيم البيانات القادمة من تطبيقات الهاتف المحمول قبل إدخالها إلى قاعدة بياناتنا؟

هل نتحقق من منطقية البيانات القادمة إلينا من تطبيقات الهاتف المحمول؟

هل نستخدم آخر التحديثات لإنتقاء قاعدة بياناتنا؟

هل نقوم بتفعيل البيانات؟

 

تهديدات إدارة التطبيق Application Management Threats

كما تعلمون يتم توزيع الكثير من تطبيقات الشركات بإستخدام سوفت وير ادارة التطبيق, لذا فمن لديه وصول إلى هذا السوفت وير و الذي يمكنه تنزيل كود المصدر الخاص بنا إلى المخازن الإلكترونية كـ Google play و apple store هو تطبيق الهاتف المحمول الخاص بنا الموقَّع من قبل حساب الشركة و الذي لديه إمكانية عمل المسح عن بعد سواءً بصورة كاملة او جزئية لأجهزة الهاتف المحمول فقط على البيانات التنظيمية.

 

مقالات ذات صلة

مصطلحات مفيدة في مجال اختبار الإختراق.

التعرف على مخاطر ملفات تعريف الإرتباط cookies في المتصفحات.

تحديد التهديدات ونقاط الضعف المتعلقة بأمن الشبكة.

عشر خطوات لحماية جهازك الذكي كي يكون آمن.

الأمن المعلوماتي على شبكات الإنترنت.

هناك تعليقان (2):

  1. مقال رائع، ومدونة اروع، ستكون ضمن المواقع المفضلة لدي وازوره يوميا، فعلا مدونة رائعة،
    هل يمكنك ان تشرح لنا طريقة تجربة placeholderJSON في الاندرويد باللغة جافا وشكرا

    ردحذف
  2. Wow... what a great article published by you. DO you know you can increase your cybersecurity by downloading this perfect Cybersecurity solution; Protegent Complete Security Antivirus.
    www.protegent360.com/protegent-complete-security.html

    ردحذف

facebook

نموذج الاتصال

الاسم

بريد إلكتروني *

رسالة *