Эссе на тему Уязвимость смартфонов
-
Оформление работы
-
Список литературы по ГОСТу
-
Соответствие методическим рекомендациям
-
И еще 16 требований ГОСТа,которые мы проверили
Введи почту и скачай архив со всеми файлами
Ссылку для скачивания пришлем
на указанный адрес электронной почты
Содержание:
Введение 3
Типовые уязвимости 4
Заключение 7
Список использованных источников 8
1. Anton K. OWASP Top-10 Proactive Controls 2016 / K. An- 8
ton, J. Bird, J. Manico // The OWASP Foundation. 2016 February. URL: https://www.owasp.org/images/5/57/OWASP_Proactive_Controls_2.pdf. 8
2. Rovelli P. Developing a Next-generation Mobile Security Solution for Android. April 2014 School of Computer Science Reykjavík University / P. Rovelli. URL: http://skemman.is/stream/get/1946/19500/43671/1/Developing_a_nextgeneration_Mobile_Security_solution_for_Android_-_Paolo_Rovelli.pdf. 8
3. Diasamidze S. V. Implementation of the Role Based Access Control in Application for Mobile Device on the Android OS Platform / S. V. Diasamidze, E. Yu. Kuzmenkova, D. A. Kuznetsov, A. R. Sarkisyan // Интеллектуальные технологиина транспорте, 2016, № 1. С.21-26.Приложение 1 8
Приложение 1 9
Приложение 2 10
Приложение 3 12
Введение:
Смартфон-это мобильный телефон, который позволяет вам делать больше, чем совершать телефонные звонки и отправлять текстовые сообщения. Смартфоны могут просматривать Интернет и запускать программные программы, такие как компьютер. Смартфоны используют сенсорный экран, чтобы позволить пользователям взаимодействовать с ними. Есть тысячи приложений для смартфонов, включая игры, Программы для личного и делового использования, которые все работают на телефоне.
Целью работы является систематизация основных угроз и уязвимостей мобильных приложений для последующего формирования методологии оценки угроз информационной безопасности в приложениях для мобильных систем.
Для достижения заданной цели необходимо решить ряд задач:
1. Выявить основные уязвимости
2. Рассмотреть их
3. Изучить меры безопасности
4. Сделать выводы.
Заключение:
Резюмируя все вышесказанное, можно сделать вывод, что смартфон-это сотовый телефон со встроенным компьютером и другими функциями, изначально не связанными с телефонами, такими как операционная система, просмотр w eb и возможность запускать программные приложения.
Многие потребители используют свои смартфоны для взаимодействия с друзьями, семьей и брендами в социальных сетях.
Facebook, Instagram, Twitter и LinkedIn-все платформы социальных сетей имеют мобильные приложения, которые пользователь может загрузить.
Мобильный платеж является еще одним широко распространенным использованием для смартфонов. Функции кошелька позволяют пользователям сохранять информацию о кредитной карте на своих телефонах для использования при покупке предметов в розничных магазинах. Такие приложения, как Apple Pay, также позволяют пользователям платить другим пользователям iOS непосредственно со своих телефонов.
Но, несмотря на столь богатый функционал, смартфоны являются уязвимыми устройствами. Данные из любого смартфона можно похитить. Чтобы это предотвратить, необходимо соблюдать меры информационной безопасности:
• проверка трафика мобильных приложений;
• использование веб-сниффера, который будет анализировать трафик мобильных приложений и следить за тем, чтобы важные данные шифровались по протоколу https;
• использовать сертификаты, подписанные доверенными центрами;
• при использовании поставщиков контента (которые предоставляют доступ к файлам или базам данных для других приложений) проверьте и назначьте права доступа.
Фрагмент текста работы:
Типовые уязвимости
Согласно классификации проекта безопасности открытых веб-приложений OWASP [1] (Open Web Application Security Project), основными уязвимостями, которым подвергаются мобильные устройства, являются:
1) системные уязвимости (архитектурные решения мобильной платформы));
2) небезопасное хранение данных;
3) недостаточная безопасность протоколов передачи данных;
4) уязвимости системы авторизации и аутентификации;
5) слабая криптостойкость;
Давайте остановимся на каждом из пунктов более подробно, сосредоточившись на особенностях наиболее популярных мобильных операционных систем.
1. Уязвимости архитектурных решений мобильных платформ основной причиной того, что операционная система Android является наиболее плохо защищенной, является отсутствие базовой технологии подписи на уровне архитектуры платформы [2]. Суть подписания кода заключается в том, что он не позволяет выполнять в системе сторонний код, который не подписан компанией, выпустившей мобильную операционную систему.
2. Небезопасное хранение данных этот раздел включает в себя следующие проблемы информационной безопасности: уязвимость «жестко закодированная и забытая». Это уязвимости, случайно созданные разработчиками при разработке программного продукта.
Приложение для Android — это файл apk (пакет Android-это формат для архивированных исполняемых приложений для Android), то есть архив, в котором хранятся исполняемые файлы, файлы конфигурации, ресурсы приложения и т. д. Если распаковать архив apk и проанализировать конфигурационные файлы, то часто можно обнаружить строки кода, которые разработчики забыли удалить из окончательной версии продукта.
Меры, которые необходимо принять для защиты персональных данных вашего мобильного устройства от несанкционированного доступа:
избегайте хранения важных данных на SD-карте
отключите ведение журнала перед установкой приложений;
при разработке приложений необходимо настроить права доступа с учетом того, что мобильное устройство пользователя может быть скомпрометировано правами суперпользователя;
периодически просматривайте конфигурационные файлы на предмет забытых строк кода отладки, допускающих несанкционированный доступ к персональным данным.
3. Недостаточная безопасность протоколов передачи данных основные проблемы:
* шифрование не используется для передачи данных (например, с использованием протокола http вместо https).
• для передачи данных используются самозаверяющие сертификаты;
Меры информационной безопасности:
* проверка трафика мобильных приложений;
• использование веб-сниффера, который будет анализировать трафик мобильных приложений и следить за тем, чтобы важные данные шифровались по протоколу https;
• использовать сертификаты, подписанные доверенными центрами;
• при использовании поставщиков контента (которые предоставляют доступ к файлам или базам данных для других приложений) проверьте и назначьте права доступа.
4. Слабая авторизация [3]:
* анонимная работа с приложением. Требования безопасности для мобильных приложений отличаются от требований безопасности для веб-приложений.
После того как были введены идентификационные данные пользователя (имя пользователя и пароль) и приложение авторизовало пользователя, оно сохраняет специальный идентификатор, который затем представляется серверу для каждого запроса, полученного от приложения. Если злоумышленник получил идентификатор пользователя и система не реализовала процедуры проверки IP-адреса сеанса или наличия нескольких подключений в сеансе, злоумышленник может получить доступ к системе с правами учетной записи пользователя.
• слабый пароль. Пароли в мобильных приложениях не должны быть длинными, и большинство приложений позволяют создавать пароли из четырех и более символов. В большинстве случаев Пароли не шифруются и помещаются в базу данных в хэшированном виде. Если злоумышленник получил доступ к базе данных, то использование готовых хэш-таблиц для расшифровки паролей из четырех символов является тривиальной задачей, требующей мало времени. Меры безопасности для данного типа уязвимостей:
* аутентификация в мобильном приложении должна совпадать с аутентификацией в веб-версии;
* локальная аутентификация должна работать только с помощью файлов cookie после авторизации на сервере;
* создавайте сложные пароли длиной более 6 символов.
5. Неправильный мониторинг клиентских приложений — это процесс проверки программного обеспечения, загруженного в магазины Appstore. Прежде чем перейти на платформу App Store, приложения iOS тщательно проверяются на наличие уязвимостей и соответствие стандартам разработки Apple. Каждое приложение, установленное на iOS, должно быть подписано специальным сертификатом «iOS Developer Program», выданным Apple только после ряда необходимых проверок. Эти меры безопасности гарантируют отсутствие вредоносного программного обеспечения в магазине приложений. Кроме того, операционная система iOS реализует политику «песочницы» для всех сторонних приложений.