مؤخراً، قامت مشروع أمان التطبيقات العالمي (OWASP) بتحديث قائمة أعلى 10 مخاطر للتطبيقات المحمولة لأول مرة منذ عام 2016. ما هو خطر الأمان في المقدمة هذه المرة؟ “استخدام الاعتماديات بشكل غير صحيح.”
هذه دعوة للاستيقاظ لمقدمي تطبيقات الهواتف المحمولة حول خطر الاعتماديات المشفرة بشكل ثابت وسوء إدارة الأسرار بشكل عام.
سوء إدارة الأسرار التي تستخدمها تطبيقاتك، خاصة في التطبيقات المحمولة، يمكن أن تؤدي إلى خروقات أمنية مدمرة. دعونا نلقي نظرة فاحصة على هذا التركيز الجديد في تأمين تطبيقاتنا وما يمكننا فعله معًا لمعالجة هذه المخاوف.
التهديد المتزايد لسوء إدارة الأسرار
يحدث استخدام الاعتماديات بشكل غير صحيح عندما لا يتم تأمين الأسرار مثل كلمات المرور أو الرموز بشكل صحيح، مما يجعلها عرضة للسرقة من قبل المهاجمين. التطبيقات المحمولة، على وجه الخصوص، معروفة بتسريب الأسرار. وفقًا لأبحاث من CyberNews، أكثر من 50% من التطبيقات المحمولة على منصات مثل متجر Google Play تحتوي على أسرار مشفرة بشكل ثابت، مما يعني أن هذه المعلومات الحساسة يمكن أن تكشف بسهولة من قبل جهات خبيثة.
إذا نظرنا إلى التعريف المقدم من OWASP، نفهم بسرعة لماذا يعتبر هذا الخطر مثيرًا للقلق بشكل خاص:
عندما تتعرض الأسرار، يمكن للمهاجمين استخدامها للحصول على وصول غير مصرح إلى الخدمات أو البيانات، أو حتى إلى الأنظمة بأكملها. هذا يجعل إدارة الأسرار أمرًا أساسيًا لمطوري التطبيقات وفرق الأمان على حد سواء.
لماذا تعد الأسرار الهدف الأساسي
الأسرار تعتبر أهدافًا جذابة للمهاجمين لأنها تمنحهم وصولًا مباشرًا إلى الأنظمة الحرجة. على عكس الثغرات الأخرى التي تتطلب استغلالًا إضافيًا، بمجرد أن يحصل المهاجم على وصول إلى مفتاح API أو كلمة مرور، فإن لديه غالبًا مسارًا واضحًا إلى الموارد القيمة.
على سبيل المثال، يمكن استخراج مفاتيح API المضمنة في تطبيقات الهاتف المحمول عن طريق أدوات تحليل ثابتة واستخدامها لإجراء طلبات API غير مصرح بها. وهذا لا يؤثر فقط على بيانات المستخدم ولكن يمكن أن يتسبب أيضًا في خسائر مالية، خاصة إذا كانت هذه المفاتيح مرتبطة بخدمات تقوم بالفوترة استنادًا إلى الاستخدام.
صعوبة السرية على الجانب العميل
نقطة مهمة في فهم إدارة الأسرار هي أن السرية على الجانب العميل تكاد تكون مستحيلة عمليًا. بغض النظر عن مدى تشويش الأسرار أو تشفيرها في تطبيق الهاتف المحمول، يمكن للمهاجمين الذين يمتلكون موارد كافية عمل عكسي للتطبيق واستعادتها. وذلك لأن الأسرار يجب في نقطة ما أن تكون متاحة في ذاكرة التطبيق للاستخدام. من خلال التحليل الديناميكي، يمكن للمهاجمين استرداد هذه الأسرار واستغلالها.
ونتيجة لذلك، الطريقة الوحيدة الآمنة لإدارة الأسرار هي الاحتفاظ بها بعيدًا عن الجانب العميل تمامًا. بدلاً من تضمين مفاتيح API أو بيانات اعتماد في التطبيق، يجب على المطورين نقل هذه المعلومات الحساسة إلى الخلفية، حيث يتمتعون بمزيد من السيطرة على الوصول والأمان.
أفضل الممارسات لإدارة الأسرار
لمعالجة تسرب الأسرار، يجب على فرق التطوير تنفيذ مجموعة من أفضل الممارسات.
1. عدم تضمين الأسرار بشكل ثابت
يجب ألا تُخزن الأسرار مباشرة في كود التطبيق. ويشمل ذلك مفاتيح واجهة برمجة التطبيقات، ورموز المصادقة، وأي بيانات حساسة أخرى. تضمين الأسرار بشكل ثابت هو أحد أكثر الطرق شيوعًا لتسربها ويمكن أن يؤدي إلى اختراقات أمنية كبيرة.
2. استخدام واجهات برمجة التطبيقات الآمنة للتخزين
يجب على المطورين استخدام آليات تخزين آمنة المقدمة من أنظمة التشغيل المحمولة لأسرار المستخدمين (على سبيل المثال: كلمات المرور، والرموز). على سبيل المثال، توفر نظام iOS مفتاح السلسلة، ونظام Android يحتوي على المستودع الآمن. تتيح هذه الواجهات البرمجية تخزين آمن ومراقبة الوصول للبيانات الحساسة على الجهاز.
3. نقل الأسرار إلى الخلفية
بدلاً من التعامل مع الأسرار على الجانب العميل، يجب على تطبيقات الهاتف المحمول استخدام منطق الخادم لإدارة مفاتيح واجهة برمجة التطبيقات وغيرها من البيانات الحساسة. يقلل وضع هذه العمليات على الخلفية بشكل كبير من خطر تسرب الأسرار.
4. تغيير وإبطال الأسرار بانتظام
حتى مع إدارة الأسرار السليمة، يجب تغيير الأسرار بانتظام، ويجب إبطال المفاتيح المخترقة فورًا. يضمن ذلك أنه إذا نجح المهاجم في الوصول إلى سر، فإنه لن يتمكن من استخدامه إلى الأبد.
5. تثبيت الشهادة
عند إرسال الأسرار إلى التطبيق أثناء التشغيل، يجب على المطورين استخدام تثبيت الشهادة لضمان أمان الاتصال. يضيف هذا طبقة حماية إضافية من خلال التحقق من هوية الخادم أثناء الاتصال.
6. تنفيذ اكتشاف الأسرار عبر دورة حياة التطوير البرمجي
إدارة الأسرار في دورة حياة التطوير تنطوي بالضرورة على وقوع أخطاء وتسريبات في بعض الأحيان. يسلط OWASP الضوء على الحاجة إلى “عملية اختبار أمان شاملة.” يجب أن تفرض طبقات متعددة من الكشف عند مراحل الارتباط والدفع والبناء والسماح بالتدبير بسهولة في حالة وقوع حادث.
من الضروري أن نضع في اعتبارنا أن السر الثابت لا يحتاج إلى الوصول إلى الإنتاج ليكون ثغرة ذات تأثير كبير.
نتائج تسرب الأسرار
عندما تتسرب الأسرار ، يمكن أن تكون العواقب وخيمة. يمكن للمهاجمين استخدام بيانات الاعتماد التي تمت تسريبها للوصول إلى بيانات حساسة ، أو التلاعب بمنطق الأعمال ، أو حتى السيطرة على الأنظمة بأكملها. على سبيل المثال ، إذا تم تسريب مفتاح API مرتبط بنظام دفع ، يمكن للمهاجمين تنفيذ معاملات احتيالية ، مما يؤدي إلى خسائر مالية للشركة وعملائها.
“Adversaries can exploit vulnerabilities in both hardcoded credentials and improper credential usage. Once these vulnerabilities are identified, an attacker can use hardcoded credentials to gain unauthorized access to sensitive functionalities of the mobile app. They can also misuse credentials, for instance, by gaining access through improperly validated or stored credentials, thereby bypassing the need for legitimate access.”
علاوة على ذلك ، يمكن أن تعرض الأسرار المتسربة نزاهة تطبيق محمول للخطر وتؤدي إلى أضرار قانونية وسمعية باهظة التكلفة. على سبيل المثال ، إذا تسربت مفاتيح API تسمح بالوصول إلى بيانات المرضى من تطبيق الرعاية الصحية ، فقد يؤدي ذلك إلى فرض غرامات تنظيمية كبيرة وتآكل ثقة العملاء.
أدوات اكتشاف الأسرار
للمساعدة في التعامل مع مشكلة تسرب الأسرار ، أصبحت أدوات اكتشاف الأسرار أساسية لتطوير التطبيقات الحديث. تقوم هذه الأدوات بفحص مستودعات الشفرة وأنابيب CI/CD وبيئات الإنتاج للبحث عن الأسرار المكشوفة ، مما يساعد الفرق على اكتشاف الثغرات قبل استغلالها.
هذه الأدوات والمنصات تسمح بمراقبة التغييرات في الشيفرة البرمجية في الوقت الحقيقي، مضمنةً عدم تضمين البيانات السرية بطريق الخطأ أثناء عملية التطوير. من خلال دمج مثل هذه الأدوات في دورة حياة التطوير، يمكن للمؤسسات تقليل بشكل كبير من خطر تسرب البيانات السرية.
أمان البيانات السرية رحلة نخوضها جميعًا
إدارة البيانات السرية ليست مجرد قضية تقنية؛ بل هي تحدي أمني حرج يمكن أن يكون له تداعيات واسعة النطاق إذا لم يتم التعامل معه بشكل صحيح. يمكن للمؤسسات حماية بياناتها الحساسة وتقليل احتمالية الانتهاكات التكلفة من خلال فهم مخاطر استخدام أوراق اعتماد غير صحيحة، وتنفيذ أفضل الممارسات لتأمين البيانات السرية واستخدام الأدوات المصممة لاكتشاف التسربات.
مع استمرار الهجمات السيبرانية والانتهاكات في جعبة الأخبار، يعد تأمين البيانات السرية أبرز استراتيجية وقائية للحفاظ على سلامة المؤسسات والأنظمة. نشكر الله على تطوع متطوعي OWASP الذين يقدمون المساعدة لنا لمواكبة المشهد الأمني السيبراني المتغير باستمرار.
المرجع
- أعلى ١٠ مخاطر لتطبيقات الهواتف المحمولة، مشروع OWASP العالمي لأمان التطبيقات
Source:
https://dzone.com/articles/secrets-security-important-issue-mobile-apps