Мобильді қосымшаның қауіпсіздігі



Жұмыс түрі:  Курстық жұмыс
Тегін:  Антиплагиат
Көлемі: 20 бет
Таңдаулыға:   
ҚАЗАҚСТАН РЕСПУБЛИКАСЫ БІЛІМ ЖƏНЕ ҒЫЛЫМ МИНИСТРЛІГІ

Қ.Сəтбаев атындағы қазақ ұлттық техникалық зерттеу университеті Ақпараттық жəне телекоммуникациялық технологиялар институты Киберқауіпсіздік, ақпаратты өңдеу жəне сақтау кафедрасы

Ысқақ Сабыр Серікұлы

Мобильді қосымшаның қауіпсіздігі

ДИПЛОМДЫҚ ЖҰМЫС

6B06301 - Ақпараттық қауіпсіздік мамандығы

Алматы 2023

МАЗМҰНЫ

КІРІСПЕ
Мобильді қосымшалардың қауіпсіздігіне кіріспе
Қазіргі ақпараттық қоғамда мобильді қосымшалар біздің күнделікті өміріміздің ажырамас бөлігіне айналды. Біз оларды қарым-қатынас, жұмыс, ойын-сауық, қаржылық операциялар және басқа да көптеген мақсаттарда қолданамыз. Алайда, мобильді қосымшалардың танымалдылығының, қолданылуының артуына байланысты қауіпсіздік деңгейіде жоғарлауы керек. Мобильді қосымшалардың қауіпсіздігі маңызды рөл атқарады, өйткені олар көбінесе пайдаланушылардың жеке және құпия ақпаратын, соның ішінде төлемдер, орналасқан жері, контактілер және басқада маңызды ақпараттарды қамтиды. Мұндай ақпаратты ұрлау немесе ағызу (утечка информации) пайдаланушылар үшін ауыр зардаптарға әкелуі мүмкін, сонымен қатар қолданбаларды әзірлеушілер мен қызмет көрсететін компаниялардың беделіне теріс әсер етуі мүмкін. Бұл дипломдық жұмыстың мақсаты мобильді қосымшалардың қауіпсіздік мәселелерін зерттеу және талдау, қауіптер мен ақауларды анықтау және мобильді қосымшаларды әзірлеу мен пайдаланудың әртүрлі аспектілерінде қауіпсіздікті қамтамасыз ету бойынша қойылатын талаптарға шолу, зерттеулерді практикалық түрде көрсету.
Зерттеу барысында мен мобильді қосымшалардың, соның ішінде зиянды бағдарламалар мен вирустардың, операциялық жүйелердің осалдықтарының, пайдаланушы деректерінің құпиялылығының бұзылуының және қауіпті желілік байланыстардың негізгі қауіпсіздік қауіптерін қарастырамын. Мен сондай-ақ деректерді кодтау және шифрлау, пайдаланушылардың аутентификациясы және авторизациясы, кірістерді өңдеу және енгізу шабуылдарының алдын алу, зиянды бағдарламалар мен вирустардан қорғау және мобильді қосымша қауіпсіздігін тексеру сияқты қолданбалардың қауіпсіздігін қамтамасыз етудің әртүрлі әдістері мен тәсілдерін зерттеймін. Әрі қарай, мен мобильді қосымшалардағы пайдаланушылардың деректерін қорғау мәселелерін қарастырамын, соның ішінде деректерді қауіпсіз сақтау және беру, жеке ақпаратты қорғау және қол жеткізу құқықтарын басқару мәселелері. Мен сондай-ақ мобильді қосымшалардың болашақтағы қауіпсіздігінің маңызды аспектілерін, соның ішінде қауіп-қатердің даму тенденцияларын, инновациялық тәсілдерді, жасанды интеллект пен машиналық оқытудың рөлін және мобильді қосымшалардың қауіпсіздігі саласындағы стандарттар мен заңнаманы дамытуды қарастырамын.
Мобильді қосымшалардың қауіпсіздігін зерттеу өзекті және маңызды тақырып болып табылады, өйткені ол пайдаланушылардың жеке ақпараты мен құпиялылығын қорғауға тікелей байланысты. Мобильді қолданбаларды қорғаудың қауіптері мен әдістерін түсіну әзірлеушілерге қауіпсіз және сенімді өнімдерді жасауға көмектеседі, ал пайдаланушылар мобильді қолданбаларды пайдалану кезінде олардың қауіпсіздігін қамтамасыз етеді. Осы саладағы зерттеуді жалғастыру шабуылдардың жаңа түрлеріне бейімделу және технологияны дамыту үшін маңызды қадам болып табылады. Мобильді қосымшалардың сенімді қауіпсіздігі қауіп-қатерлерге үнемі назар аударуды және заманауи қорғаныс әдістерін қолдануды талап етеді. Жұмыстың келесі тарауларында мен мобильді қосымшалардың қауіпсіздігіне төнетін қауіптерді, оларды қорғау әдістерін, сондай-ақ қолданылатын ұсыныстар мен стандарттарды егжей-тегжейлі қарастырамын.

Мобильді қосымшалардың қауіпсіздігі қазіргі цифрлық әлемде маңызды рөл атқарады. Мобильді қосымшалардың қауіпсіздігін қамтамасыз етудің маңыздылығын көрсететін бірнеше аспектілер:
Пайдаланушының жеке ақпаратын қорғау: мобильді қосымшаларда көбінесе пайдаланушылардың жеке деректері, мысалы, имен, мекен-жайлары, қаржылық ақпараты және басқа да құпия мәліметтер болады. Бұл деректердің қауіпсіздігін қамтамасыз ету қосымшаны жасаушылар үшін бірінші кезектегі міндет болып табылады. Жеке ақпараттың ағып кетуі немесе рұқсатсыз қол жетімділігі жеке тұлғаны ұрлау, қаржылық алаяқтық және құпиялылықты бұзу сияқты ауыр зардаптарға әкелуі мүмкін.
Қаржылық шығындардың алдын алу: мобильді қосымшалар көбінесе онлайн төлемдер, банктік операциялар және электрондық коммерция сияқты қаржылық операциялармен байланысты. Қолданба қауіпсіздігінің жеткіліксіздігі алаяқтық операцияларға, қаржылық ұрлыққа және пайдаланушыларға зиян келтіруі мүмкін. Деректерді сенімді қорғауды қамтамасыз ету және қауіпсіз төлемдерді қамтамасыз ету мобильді қосымшаны жасаушылар үшін маңызды міндет болып табылады.
Зиянды бағдарламалар мен вирустардың алдын алу: мобильді қосымшалар зиянды бағдарламаларға, вирустарға және киберқауіптердің басқа түрлеріне сезімтал болуы мүмкін. Бұл деректердің бұзылуына, құрылғыны басқарудың жоғалуына және тіпті физикалық қауіпсіздікке қауіп төндіруі мүмкін. Мобильді қосымшаны жасаушылар зиянды бағдарламалар мен вирустармен белсенді түрде күресіп, шабуылдарды анықтау және алдын-алу тетіктерін ұсынып, қауіпсіздік патчтары бар қосымшаларды үнемі жаңартып отыруы керек.
Операциялық жүйенің осалдығынан қорғау: мобильді қосымшалар олар жұмыс істейтін операциялық жүйелерге байланысты. Операциялық жүйелердің осалдығы мобильді қосымшаларға шабуыл жасау мүмкіндігіне және пайдаланушы деректеріне рұқсатсыз қол жеткізуге әкелуі мүмкін. Мобильді қосымшаны жасаушылар операциялық жүйелердің жаңартуларын үнемі қадағалап отыруы керек және өз қосымшаларын ықтимал осалдықтардан қорғау үшін тиісті қауіпсіздік шараларын қолдануы керек.
Желілік қауіптерден қорғау: мобильді қосымшалар деректерді бөлісу үшін сыртқы серверлермен және желілермен өзара әрекеттесе алады. Қауіпті Желілік қосылыстар шабуылдаушыларға деректерді ұстап алуға, өзгертуге немесе бұрмалауға мүмкіндік беретін осалдықтар тудыруы мүмкін. Мобильді қосымшаны жасаушылар қауіпсіз байланыс протоколдарын, деректерді шифрлауды және желілік алмасуды қорғау үшін басқа шараларды қолдануы керек.
Заңнама мен реттеу талаптарын қанағаттандыру: деректерді қорғауға және пайдаланушылардың жеке өміріне қатысты әртүрлі заңнамалық актілер мен реттеуші талаптар бар. Мобильді қосымшаны жасаушылар осы талаптардан хабардар болып, сәйкестікті қамтамасыз ету үшін тиісті шаралар қабылдауы керек. Талаптарды орындамау әзірлеушілер мен олардың қосымшаларының беделіне құқықтық салдарлар мен жағымсыз салдарға әкелуі мүмкін.
Тұтастай алғанда, мобильді қосымшалардың қауіпсіздігін қамтамасыз ету олардың сәтті дамуы мен қолданылуының ажырамас бөлігі болып табылады. Өсіп келе жатқан қауіптер мен жеке ақпараттың маңыздылығын ескере отырып, әзірлеушілер қолданбаларды ықтимал осалдықтар мен шабуылдардан қорғау үшін барлық қажетті шараларды қабылдауы керек. Бұл пайдаланушылардың мобильді қосымшалармен қауіпсіз және сенімді өзара әрекеттесуін қамтамасыз етуге және сол қолданбаларға деген сенімді сақтауға көмектеседі.

II. Мобильді қосымшалардың қауіпсіздік қатерлері

Зиянды қолданбалар: мобильді қолданбалардың қауіпсіздігіне төнетін негізгі қауіптердің бірі-зиянды қолданбалардың болуы. Бұл қолданушылардың құрылғыларында зиянды әрекеттерді орындау үшін арнайы жасалған қосымшалар. Зиянды бағдарламаларға жеке деректерді ұрлайтын, пайдаланушының әрекеттерін бақылайтын, спам-хабарламалар жіберетін немесе басқа зиянды әрекеттерді орындайтын бағдарламалық жасақтамалар жатады.
Зиянды бағдарламаларға қатысты кейбір жалпы қауіптер:
Жеке деректерді ұрлау: зиянды қолданбалар идентификатор, қаржылық ақпарат, контактілер және хабарламалар сияқты пайдаланушылардың жеке деректерін ұрлау үшін мақсатты түрде жасалуы мүмкін. Бұл деректерді шабуылдаушылар алаяқтық, жеке басын куәландыратын ұрлық немесе басқа қылмыстық әрекеттер үшін пайдалана алады. Жеке деректерді ұрлап оны тарату - бұлда өте қауіпті. Себебі сіз туралы жеке ақпараттармен деректерді бір ғана емес бірнеше қолданушылар білуі мүмкін. Бұларға өзіңіз ғана білетін информациялар, фотолар, видеолар ең сорақысы кіру ақпараты (логин) мен құпия сөзді жария қылу. Кіру ақпараты мен құпия сөзді білу зиянкесті басқада мобильді немесе өзге платформалардағы қосымшаларға қол жетімділік береді. Статистика бойынша көптеген ақпарат құрылғыларын қолданушылар бас қатырмас үшін бір құпия сөзді бірнеше жерге қолданады. Бұл дегеніміз тек Instagram бағдарламасының құпия сөзін білу арқылы өзгеде қосымшаларға қол жеткізуге болады деген сөз.
Зиянды кодты тарату: мобильді қосымшаларда зиянды кодты тарату пайдаланушылардың деректері мен құрылғыларының қауіпсіздігіне үлкен қауіп төндіреді. Зиянды бағдарламалар (малвар) қалпына келтірілмейтін зиян келтіруі мүмкін, соның ішінде жеке ақпаратты ұрлау, қаржылық алаяқтық, деректерді жою немесе бүлдіру және құрылғыдағы қажетсіз әрекеттер.
Зиянды кодтың мобильді қосымшаларға енуінің бірнеше жалпы әдістері бар:
Жалған қолданбалар: зиянкестер танымал немесе пайдалы қолданбалар ретінде көрінетін қолданбаларды жасайды. Пайдаланушылар бұл жалған қосымшаларды зиянды кодтың бар екенін білмей жүктейді.
Фишинг және әлеуметтік инженерия: зиянкестер пайдаланушыларды зиянды қосымшаларды орнатуға сендіру үшін фишинг немесе әлеуметтік инженерия әдістерін қолдана алады. Олар зиянды кодты қамтитын белгілі бір қолданбаны орнатуды сұрайтын жалған электрондық хаттарды немесе SMS жібере алады.
Зиянды сілтемелер: зиянкестер пайдаланушыларды зиянды коды бар веб-беттерге немесе сайттарға бағыттайтын зиянды сілтемелерді қолдана алады. Осы беттерге кірген кезде пайдаланушыларға зиянды бағдарламалық жасақтама жұқтырылуы мүмкін.
Қаржылық алаяқтық: зиянды қолданбалар пайдаланушылардың қаржылық қауіпсіздігіне қауіп төндіруі мүмкін. Олар қаржылық деректерді алу, пайдаланушыларды адастыру және олардың шоттарында алаяқтық әрекеттер жасау үшін банктердің немесе төлем жүйелерінің қосымшаларын қолдан жасауы мүмкін. Мұндай алаяқтықтың кейбір ықтимал салдары тізбектеп айта кетсек:
Қаржылық шығын: зиянкестер несие картасының нөмірлері, Құпия сөздер немесе банктік шот деректері сияқты қаржылық деректеріңізге қол жеткізе алады және оларды рұқсат етілмеген транзакциялар немесе ақша алу үшін пайдалана алады. Нәтижесінде сіз банктік шотыңыздан қаражат жоғалтуыңыз немесе қаржылық шығындарға тап болуыңыз мүмкін.

Жеке ақпаратты ұрлау: қаржылық алаяқтар сіздің жеке ақпаратыңызды, мысалы, аты-жөніңізді, мекен-жайыңызды, әлеуметтік қауіпсіздік нөмірлеріңізді және басқа да сәйкестендірулерді алаяқтық әрекеттер жасау үшін пайдалана алады. Бұған несие карталарын ашу, қарыз алу немесе басқа алаяқтық операциялар кіруі мүмкін, бұл сіздің несие тарихыңызға және қаржылық жағдайыңызға теріс әсер етуі мүмкін.
Деректер қауіпсіздігіне қауіп: егер зиянкестер сіздің қаржылық деректеріңізге мобильді қосымшалар арқылы қол жеткізсе, олар бұл ақпаратты басқа алаяқтық әрекеттер үшін пайдалана алады немесе оны қараңғы нарықта сата алады. Бұл сіздің жеке өміріңізді бұзуға және деректеріңіздің қауіпсіздігіне қауіп төндіруі мүмкін
Беделге нұқсан келтіру: қаржылық алаяқтықтың салдары ақшаның жоғалуына дейін созылуы мүмкін. Егер сіздің жеке ақпаратыңыз немесе қаржылық деректеріңіз зиянкестерге қол жетімді болса, бұл сіздің беделіңізге және айналаңыздағы адамдардың сеніміне теріс әсер етуі мүмкін.
Эмоционалды және психологиялық салдары: қаржылық алаяқтықпен бетпе-бет келу эмоционалды күйзелісті, мазасыздықты және бұзылған қауіпсіздік сезімін тудыруы мүмкін. Бұл сіздің эмоционалды және психологиялық әл-ауқатыңызға әсер етуі мүмкін.
Мобильді қосымшаларда қаржылық алаяқтық пайда болған кезде жедел шаралар қабылдау, банкпен немесе қаржы институтымен байланысу маңызды, осылайша олар сіздің қаржылық қаражатыңыз бен ақпаратыңызды қорғау үшін тиісті шаралар қолдана алады. Сондай-ақ, полицияға болған жағдай туралы хабарлау және жағдайды реттеу және болашақ алаяқтық әрекеттердің алдын алу үшін олардың ұсыныстарын орындау қажет.

Мобильді қосымшаларды қорғау әдістері
Мобильді қосымшаларды қорғау пайдаланушылар мен олардың деректерінің қауіпсіздігін қамтамасыз етудің маңызды аспектісі болып табылады. Тізбектей айта кетсек:
Кодтау (шифрлау): кодтауды қолдану қолданбаның бастапқы кодын рұқсатсыз кіруден және бұзудан қорғауға мүмкіндік береді. Шифрлау құпия деректер мен шифрлау кілттерін қорғау үшін шифрлау алгоритмдерін қолдануды қамтуы мүмкін.
Аутентификация және авторизация: аутентификация және авторизация механизмдерін қосу қолданбаға рұқсатсыз кірудің алдын алуға көмектеседі. Қолданбаға кірмес бұрын пайдаланушылар логин мен парольді енгізу немесе биометриялық сәйкестендіруді пайдалану сияқты аутентификация процедурасынан өтуі керек. Сонымен қатар, авторизация тетіктері қолданушылардың мүмкіндіктерін шектеу арқылы қолданба ішіндегі кіру құқықтарын анықтайды.
Зиянды кодтан қорғау: антивирустық бағдарламалық жасақтаманы және зиянды кодты анықтау механизмдерін пайдалану Мобильді қосымшаларды вирустардан, трояндық бағдарламалардан және басқа зиянды шабуылдардан қорғауға көмектеседі. Антивирустық бағдарламаны үнемі жаңартып отыру жаңа қауіптермен күресуге көмектеседі.
Деректерді сақтау: пайдаланушылардың құпия деректерін қорғау басымдық болып табылады. Қолданбалар жеке ақпаратқа рұқсатсыз қол жеткізуді болдырмау үшін шифрлау немесе қауіпсіз сақтауды пайдалану сияқты сенімді сақтау әдістерін қолдануы керек.
Қауіпсіздік жаңартулары: қолданбаның тұрақты жаңартулары осалдықтарды түзетуге және қауіпсіздік қателерін түзетуге көмектеседі. Әзірлеушілер соңғы қауіпсіздік патчтары туралы хабардар болу және оларды қолданбаларға енгізу үшін операциялық жүйелер мен жақтаулардың жаңартуларын қадағалап отыруы керек.
Қауіпсіздікті тестілеу: қолданба қауіпсіздігін тексеруді жүргізу осалдықтар мен қорғаныс мәселелерін анықтауға мүмкіндік береді. Бұған статикалық кодты талдау, динамикалық тестілеу, пентестинг және қауіпсіздікті тексерудің басқа әдістері кіруі мүмкін.
Пайдаланушыларды оқыту: пайдаланушыларға қауіпсіздік ережелерін үйрету және оларды ықтимал қауіптер туралы хабардар ету қолданбаның қауіпсіздігін бұзуы мүмкін абайсыз мінез-құлық пен қателер қаупін азайтады.
Белсенділікті бақылау: қолданба белсенділігін үнемі бақылау және оқиғалар журналын талдау күдікті әрекеттерді немесе шабуылдарды анықтауға және нақты уақыт режимінде әрекет етуге мүмкіндік береді.
Осы әдістердің үйлесімі мобильді қосымшалардың қауіпсіздігін арттыруға және оларды әртүрлі қауіптерден қорғауға көмектеседі. Қолданбаларды әзірлеу және қолдау кезінде әзірлеушілерге қауіпсіздікке басымдық беру маңызды.

Мобильді қосымшаны құру негіздері және қауіпсіздік бойынша қойылатын негізгі талаптар

Мобильді қосымшаның қауіпсіздігі туралы толығырақ түсіну үшін қосымшаның жасалу процессін кезең-кезеңге жіктеп, қай кезеңде қандай талаптар қойылатындығы туралы тереңірек айта кетемін. Мобильді қосымшаны құру-бұл бірнеше негізгі қадамдарды қамтитын көп сатылы процесс.
Идея және жоспарлау:
Қосымшаның мақсаты және оның негізгі идеясы анықталады. Ол қандай мәселені шешетінін немесе қандай қажеттілікті қанағаттандыратынын түсіну керек, бұл критериелер мобильді қосымшаны құру барысында өте маңызды. Нарық пен бәсекелестерді зерттеп, қандай ұқсас қосымшалар бар екенін және олардың ұсыныстарын қалай жақсартуға болатыны анықталады. Функционалдық талаптар қосымша қолданылатын және таратылатын интерфейс дизайнын, жоспарланған платформаларды (iOS, Android немесе екеуі де), қажетті интеграцияларды және басқа мәліметтерді қамтитын егжей-тегжейлі техникалық сипаттамалар жасалады.
Интерфейс дизайны (UI UX):
Мобильді қосымшаның UI (UI) прототиптері мен макеттерін жасалады. Әр түрлі дизайн нұсқаларын қарастырып және оларды әзірлеушілер мен дизайнерлер тобы құралады. Бұл кезеңдегі негізгі критерийлер пайдаланушыға ыңғайлы болу және түсінікті болу қамтамасыз етіледі. Навигациялық логика, интерактивті элементтер және визуалды дизайн жасалады.
Frontend әзірлеу(разработка):
Мобильді қосымшаны әзірлеу үшін дұрыс framework немесе құралдар жинағын таңдалады. Мысалы, iOS платформасы үшін Swift немесе Objective-C, ал Android үшін Java немесе Kotlin пайдалануға болады. Бұрын жасалған дизайн макеттерін енгізу арқылы пайдаланушы интерфейсін жасайды. Экрандарды, түймелерді, енгізу пішіндерін және басқа интерактивті элементтерді жасалады. Сонымен қатар Frontend әзірлеу кезеніңде қолданбаның функционалдығын, соның ішінде деректерді өңдеуді, сервермен өзара әрекеттесуді, дерекқорды басқаруды және басқа да қажетті әрекеттер жүзеге асырылады.
Backend әзірлеу:
Мобильді қосымшаның сервермен байланысуына мүмкіндік беретін API (Application Programming Interface) жасалып, сұраулар мен жауаптар үшін деректер әдістері мен форматтары анықталады. Мобильді қосымша серверде деректерді сақтауды және өңдеуді қажет етсе, дерекқорды іске асыру керек болады. Бұл кезең қосымшаның жасалуындағы ең маңызды функцияны орындайды - пайдаланушының барлық қозғалыстарына жауап беру және оны қызығушылық мақсатына жеткізу, мейлі ол тауарға тапсырыс беру немесе бонустық бағдарламаның егжей-тегжейімен танысу және тағы да басқа қосымшаның техникалық тапсырмасына байланысты талаптарды орындау. Дәл осы кезеңде қосымшаның қауіпсіздік талаптарына байланысты шифрлау, қауіпсіздік сертификаттарына сай түрде жасау талаптары орындалады. Яғни стандартқа сәйкес жұмыс жасауы қажет.
Стандарт дегеніміз не? Стандарт - стандарттау объектісіне қойылатын нормаларды, ережелерді, талаптарды белгілейтін нормативтік техникалық құжат. Мобильді қосымша қауіпсіздігі үшін қойылатын стандарт - OWASP MASVS.
OWASP MASVS (Mobile Application Security Verification Standard) - бұл мобильді қосымшалардың қауіпсіздігінің салалық стандарты. Оны қауіпсіз мобильді қосымшаларды әзірлеуге ұмтылатын сәулетшілер мен мобильді бағдарламалық жасақтама жасаушылар, сондай-ақ тестілеу нәтижелерінің толықтығы мен дәйектілігін қамтамасыз ету үшін қауіпсіздік тестерлері қолдана алады. Бұл стандарт Open Worldwide Application Security Project (OWASP) әзірлеген қауіпсіздік стандарты. Open Worldwide Application Security Project(R) (OWASP) -- бағдарламалық жасақтаманың қауіпсіздігін жақсарту үшін жұмыс істейтін коммерциялық емес ұйым. Қауымдастық басқаратын ашық бастапқы бағдарламалық жасақтама жобалары, дүние жүзіндегі жүздеген жергілікті тараулар, ондаған мың мүшелер және жетекші білім беру және оқыту конференциялары арқылы OWASP Foundation әзірлеушілер мен технологтардың интернет қауіпсіздігін қамтамасыз ету көзі болып табылады.
Бұл құрылым мобильді қосымшалардың қауіпсіздігін бағалау және жақсарту үшін нұсқаулар мен ең жақсы тәжірибелердің нақты және қысылған жиынтығын ұсынады. MASVS мобильді қосымшалардың қауіпсіздігін тексеру үшін индикатор, Нұсқаулық және негіз ретінде пайдалануға арналған, әзірлеушілер, қолданба иелері және қауіпсіздік мамандары үшін құнды ресурс ретінде қызмет етеді. MASVS мақсаты-мобильді қосымшалардың қауіпсіздігіне деген сенімділіктің жоғары деңгейін қамтамасыз ету
мобильді қосымшалардың қауіпсіздігінің ең көп кездесетін мәселелерін шешетін басқару элементтерінің жиынтығын ұсыну. Бұл басқару элементтері Мобильді қосымшаларды әзірлеу мен сынаудың барлық кезеңдерінде ұсыныстар беруге бағытталған.
Стандарт мобильді шабуыл бетінің ең маңызды аймақтарын білдіретін әртүрлі топтарға бөлінеді. MASVS-XXXXX деп белгіленген бұл бақылау топтарында келесі бағыттар бойынша ұсыныстар мен стандарттар бар:
MASVS-STORAGE: құрылғыда құпия деректерді қауіпсіз сақтау (data-at-rest).
MASVS-CRYPTO: құпия деректерді қорғау үшін қолданылатын криптографиялық мүмкіндіктер.
MASVS-AUTH: мобильді қосымша пайдаланатын аутентификация және авторизация механизмдері.
MASVS-NETWORK: мобильді қосымша мен қашықтағы соңғы желі арасындағы қауіпсіз желі байланысы нүктелермен (деректерді беру).
MASVS-PLATFORM: негізгі мобильді платформамен және басқа орнатылған қосымшалармен қауіпсіз өзара әрекеттесу.
MASVS-CODE: деректерді өңдеу кезінде қауіпсіздікті қамтамасыз ету және қолданбаны жаңартып отыру бойынша ұсыныстар.
MASVS-RESILIENCE: кері дизайнға және рұқсатсыз кіру әрекеттеріне төзімділік.

MASVS-STORAGE: Сақтау

Мобильді қосымшалар жеке тұлғаны анықтауға мүмкіндік беретін ақпарат (Pii), криптографиялық материалдар, құпиялар және API кілттері сияқты көптеген құпия деректерді өңдейді, олар көбінесе жергілікті жерде(локально) сақталуы керек. Бұл құпия деректер қолданбаның ішкі жады сияқты жеке орындарда немесе пайдаланушыға немесе құрылғыда орнатылған басқа қолданбаларға қолжетімді жалпыға ортақ қалталарда сақталуы мүмкін. Сонымен қатар, құпия деректер байқаусызда сақталуы немесе жалпыға қол жетімді жерлерде орналастырылуы мүмкін, әдетте белгілі бір API-ді немесе сақтық көшірмелер немесе журналдар сияқты жүйелік мүмкіндіктерді пайдаланудың жанама әсері ретінде.

MASVS-CRYPTO: Криптография

Мобильді қосымшалар үшін криптография қажет, өйткені мобильді құрылғылар өте портативті және оларды оңай жоғалтуға немесе ұрлауға болады. Бұл дегеніміз, құрылғыға физикалық қол жеткізген шабуылдаушы онда сақталған барлық құпия деректерге, соның ішінде парольдерге, қаржылық ақпаратқа және жеке басын анықтауға мүмкіндік беретін ақпаратқа қол жеткізе алады. Криптография осы құпия деректерді оларды шифрлау арқылы қорғауды қамтамасыз етеді, осылайша олар оңай оқылмайды немесе рұқсат етілмеген пайдаланушыға қол жетімді болмайды. Осы санаттағы басқару элементтерінің мақсаты-дәлелденген қолданбаның NIST.SP.800 - 175B және NIST.SP.800-57 сияқты сыртқы стандарттарда анықталатын ең жақсы салалық тәжірибелерге сәйкес криптографияны пайдалануын қамтамасыз ету.
NIST.SP.800 - 175B және NIST.SP.800-57 стандарттарында криптографияны қолдану екі негізгі компонентке негізделген: алгоритм және кілт. Алгоритм - бұл математикалық функция, ал кілт - криптография процесінде қолданылатын параметр. Алгоритм мен кілт деректерге криптографиялық қорғауды қолдану үшін (мысалы, деректерді шифрлау немесе цифрлық қолтаңба жасау үшін) және қорғауды алу немесе тексеру үшін (мысалы, шифрланған деректерді декодтау немесе цифрлық қолтаңбаны тексеру үшін) бірге қолданылады. Криптографиялық қорғаныстың сенімділігі кілттің құпиялылығына байланысты. Қауіпсіздік алгоритмнің құпиялылығына тәуелді болмауы керек, өйткені алгоритмнің сипаттамасы жалпыға қол жетімді болуы мүмкін. Криптографиялық алгоритмді қолдану үшін барлық қажетті криптографиялық кілттер "орнында" болуы керек (яғни криптографияны қолданғысы келетін тараптар үшін жәненемесе олардың арасында кілттер орнатылуы керек). Кілттерді қолмен (мысалы, сенімді курьер арқылы) немесе автоматтандырылған әдіспен орнатуға болады. Алайда, қатысушы объектілер үшін автоматтандырылған әдісті қолданған кезде, ашық кілт инфрақұрылымы (PKI) немесе қолмен таратылған аутентификация кілті сияқты белгіленген сенім инфрақұрылымына сүйенетін бастапқы аутентификация қажет. Әдетте, бір мақсатта қолданылатын кілттер (мысалы, цифрлық қолтаңбаларды құру) басқа мақсатта пайдаланылмауы керек (мысалы, кілтті орнату), өйткені екі түрлі криптографиялық процестер үшін бір кілтті пайдалану бір немесе екі процестің қауіпсіздігін әлсіретуі мүмкін. Sp 800-57 1-бөлімінде криптографиялық кілттермен материалдарды басқарудың жалпы нұсқаулары мен ең жақсы тәжірибелері, соның ішінде криптографияны пайдалану кезінде ұсынылатын қауіпсіздік қызметтерінің анықтамалары, сондай-ақ пайдаланылуы мүмкін алгоритмдер мен кілт түрлері, кілттің әр түріне және басқа криптографиялық ақпаратқа қажетті қорғаныс сипаттамалары және оларды қамтамасыз ету әдістері бар. мұндай қорғауды қамтамасыз ету, кілттерді басқарумен байланысты функцияларды талқылау және криптографияны пайдалану кезінде шешілуі керек кілттерді басқарудың әртүрлі мәселелерін талқылау.
Хэш функциясы (хэш алгоритмі деп те аталады)-бұл криптографиялық қарабайыр алгоритм, ол өзінің кірісінің (мысалы, хабарламалардың) қысылған көрінісін жасайды. Хэш функциясы еркін ұзындықтағы кірістерді қабылдайды және берілген ұзындықтағы мәнді шығарады. Хэш функциясының жалпы шығыс атаулары хэш мәнін және хабарлама дайджестін қамтиды. Криптографиялық хэш функциясы-бұл бір жақты функция, оны төңкеру өте қиын. Яғни, процесті хэш мәнінен кіріс деректеріне қайтару практикалық емес.
1-суретте хэш мәнін құру және тексеру процесі көрсетілген.

1-сурет: хэш функциясын құру және тексеру

Хэш функциясы келесідей қолданылады:
Хэш генерациясы:
Хэш мәні (H1) хэш функциясын қолдана отырып, мәліметтер негізінде (M1) жасалады.
Содан кейін M1 және H1 сақталады немесе беріледі.
Хэшті тексеру:
Хэш мәні (H2) алынған немесе алынған мәліметтер (M2) негізінде жасалады H1 құрған хэш функциялары.
H1 және H2 мәндері салыстырылады. Егер H1 = H2 болса, онда M1 жоқ деп болжауға болады сақтау немесе тасымалдау кезінде өзгерді.
Жоғарыда жазылған ақпараттың барлығы стандарт негіздерінде бір кілт тек бір жерде қолданылуы керек, хеш функциялар және тағыда басқа. Яғни бұның барлығы шифрлауға жатады, қарапайым тілде айтқанда шифрлау дегеніміз не?
Шифрлау-бұл ақпаратты жасырын түрде ұсыну тәсілін өзгерту және оны бастапқы түрінде алудың жалғыз жолы - нақты нұсқаулар жиынтығы. Ақпаратты шифрлаудың көптеген жолдары бар, әсіресе егер ол компьютерде немесе телефонда сандық түрде сақталса. Егер сізге zip файлы немесе көру үшін құпия сөзді қажет ететін Microsoft Office құжаты келген болса, бұл оның шифрланғанын білдіреді. Сіз алғыңыз келген деректер контейнерге орналастырылды (оны смартфондағы немесе компьютердегі қалта ретінде елестетуге болады) және контейнер құпия сөзбен қорғалған. Сіз бұл әдісті бүкіл дискіге немесе бөлімге тарата аласыз. Шифрланған бөлімнің ішіндегі кез-келген ақпаратқа қол жеткізу үшін оны парольмен ашу керек.
Деректерді шифрлаудың тағы бір тәсілі - олардың шифрын шешкенге дейін қалай ұсынылатындығын физикалық түрде өзгерту. Мұны сіз қандай да бір фразаны басып шығаратын қосымшамен салыстыруға болады және ол әріптерді 1-ден 33-ке дейінгі сандарға аударады. Сіз сөйлемді жүргізіп, соңында сандар тізбегін көресіз. Бірақ қолданба 1 "А" дегенді білдіретінін біледі, 33-тен артық сан жоқ, сонымен қатар қолданба емлені тексеру үшін амалдық жүйенің сөздігіне қол жеткізе алады, өйткені 11 тізбегі сіз терген сөзге байланысты "АА" және "АК" дегенді білдіруі мүмкін. Басқа біреу сіздің жазғаныңызды оқу үшін қолданбаны пайдаланған кезде, жазылған нәрсе қалыпты болып көрінеді.
Енді басқа жағдайды елестетіп көріңіз. Сандардың реті кері болып өзгертілді, 13 11 мен 15 арасында қосылды, сөздер арасындағы бос орын алынып тасталды және әріптер арасындағы әрбір шағын аралыққа кездейсоқ оқылмайтын таңбалар тізбегі енгізілді. Бұл файлды қолданбаны пайдаланбай оқуға болмайды, егер сіз қаласаңыз және шыдамдылық танытсаңыз, бірінші мысалдан айырмашылығы. Шифрлау алгоритмі осылай жұмыс істейді. Бұл бағдарламаға кез - келген түрдегі ақпаратты алгоритммен оңай шешілетін және өте қиын және уақытты қажет ететін хэшке айналдыруға көмектеседі-онсыз. Компьютерлік алгоритмдер жоғарыдағы қарапайым мысалмен салыстырғанда әлдеқайда күрделі нәрселерді жасай алады. Және олар бұл операцияларды саусақтарында осы мысалды ойлап тапқан адамға қарағанда әлдеқайда жылдам орындайды. Қалтаны немесе дискіні шифрлау шифрланған контейнердің үлгісі болып табылады және біздің мысал сияқты шифрланған деректерді де осындай шифрланған контейнерге орналастыруға болады.
Ақпаратты алу, оны шифрлау, содан кейін осы ақпаратқа қол жеткізуді қажет ететін қолданбалар мен қызметтердің шифрын ашып, пайдалана алатынына көз жеткізу өте қиын. Бақытымызға орай, бұл жұмысты құрылғы мен ондағы амалдық жүйе орындайды, ал бізден тек дұрыс парольді білу және дұрыс қызметті пайдалану қажет.
Шифрлау және Android
Android файл және контейнер деңгейінде шифрлауды қолдайды (толық дискіні шифрлау). Қолданба платформасы ретінде ол қауіпсіз қалталар немесе мессенджерлер мен поштадағы шифрланған хат алмасу сияқты үшінші тараптың шифрлау әдістерін қолдай алады. Бұл дегеніміз, құрылғының чипсетінде деректерді шифрлауға және шифрын ашуға көмектесетін компонент бар. Файлдардың шифрын ашудың жарамды кілті құрылғыда сақталады және пайдаланушының әрбір әрекеті құпия сөз, саусақ ізі, сенімді құрылғы және т. б. - шифрланған деректерге қол жеткізу үшін қолданылатын Secure Element (пластикалық карталарда қолданылатындар сияқты жеке микропроцессор). Android 6.0 Marshmallow - тен бастап, барлық шифрлау функцияларын осы Secure Element және жеке кілт, токендер (бір реттік немесе қайта пайдалануға болатын электрондық кілттер) арқылы жүзеге асыруға болады, олар деректерді шифрлау және шифрын ашу үшін қолданылады. Бұл процессорға жарамды таңбалауышты бермей, деректер шифрланған күйінде қалады дегенді білдіреді. Android параметрлерінде сіз құпия сөз енгізілгенге дейін телефон жүктелген сайын жүйе шифрланған күйде қалатындай етіп жасай аласыз. Телефондағы деректер шифрланған кезде, ол қазірдің өзінде қауіпсіздікті қамтамасыз етеді, бірақ жүктеу процесін пароль енгізілгенге дейін тоқтата тұру файлдарға кіруге жол бермейді және қосымша қорғаныс қабаты ретінде қызмет етеді. Қалай болғанда да, сіздің құпия сөзіңіз (немесе PIN коды немесе үлгі немесе саусақ ізі) secure Element арқылы деректерге қол жеткізеді және сізде жеке шифрлау кілтін алу мүмкіндігі жоқ-деректермен ... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Телеграм бот
Busfor автобусқа билет брондау мобильді қосымшасы
Кеңейтілген шынайылық технологиясы
Алматы энергетика және байланыс университетіне арналған мобильді қосымша құру
Мобильді қосымшаға анализ
Android платформасына арналған мобильді қосымшалар
Жұмыс іздеу сервисінің ақпараттық жүйелерінің ерекшеліктері
Кафедраның тәрбие жұмысына бағытталған мобильді қосымшаның сервері
Ауыл шаруашылық биржасының мобильді қосымшасын әзірлеу
Мобильді қосымшаларды жобалау мен құрастырудың негізгі қағидалары
Пәндер