الوصول إلى البيانات الخاصة يجعل تطبيقات الهاتف المحمول الهدف للمتسللين

تجذب التطبيقات المتنقلة بهدوء المزيد والمزيد من الاهتمام الخبيث – ولسبب وجيه. أنها تحتوي على مجموعة من المعلومات الخاصة عن مستخدميها. في عالم iOS وحده ، 82.78 ٪ ، أو حوالي 1.55 مليون تطبيق ، تتبع بيانات المستخدم الخاص ، وفقًا لمواضيع تتبع الاتجاهات.

أثبتت تطبيقات الأجهزة المحمولة أيضًا أنها أسطح هجمات ضعيفة بشكل خاص للمجرمين الإلكترونية. يمكن اختراق نقاط الدخول والخروج “غير المرئية” داخل تطبيقات الأجهزة المحمولة قبل أن تكتشف أدوات الأمان القديمة خرقًا. وتشمل هذه النقاط مكالمات API ، ومزامنة الخلفية ، ودفع الإخطارات.

أوضح ساتيش سوارغام ، مستشار الأمان الرئيسي في شركة Black Duck Software ، وهي شركة أمان للتطبيقات في Burlington ، ماساتشوستس ، أنه يمكن لمستخدم الهاتف المحمول منح أذونات في تطبيقات الأجهزة المحمولة. وقال لـ TechnewSworld: “معظم المستخدمين لا يطبقون الأذونات على نطاق واسع ومنح الأذونات على نطاق واسع ، مما يسمح للتطبيقات الخبيثة باستغلال هذه النقاط غير المرئية”.

ما هو أكثر من ذلك ، لا تحدد الأدوات القديمة في كثير من الأحيان السلوك المشبوه حتى يفوت الأوان. يمكن أن يتجاوز الاحتيال الذي يعمل بالنيابة عن المصادقة متعددة العوامل ، واستغلال الأخطاء المرتبطة بالذاكرة ونقاط الضعف ، ومعاملات الاختطاف في الوقت الفعلي.

وقال توم توفار ، الرئيس التنفيذي لشركة Appdome ، صانع منصة الأمن والتكامل لمطوري المحمول ومحترفي المؤسسات ، في Redwood City ، “لقد غيرت الذكاء الاصطناعى المشهد بأكمله لحماية مستهلكي الأجهزة المحمولة والمعاملات المتنقلة وإيرادات الهاتف المحمول.

وقال لـ Technewsworld: “أعتقد أننا رأينا نهضة داكنة حقيقية حول استخدام الذكاء الاصطناعي لإنشاء هجمات ، وتعزيزها ، وتضخيمها ، وضريبةهم ضد المزيد والمزيد من المستهلكين أكثر من أي وقت مضى”.

وقال “إذا كنت في مجال الدفاع ، فهذا وقت رائع”. “ولكن إذا كنت مجرد مستهلك يوميًا متوسطًا ، فهذا وقت مخيف للغاية.”

وأضاف كريس هيلز ، كبير استراتيجيات الأمن في “بيوند ترينست” ، وهو صانع لحلول إدارة الحسابات المميزة في كارلسباد ، كاليفورنيا: “إن الهجمات التي تعمل من الذكاء الاصطناعى في العالم الحقيقي وتطبيقات الهاتف المحمول تجعل من الأسهل وأسرع أن تتنازل الجهات الفاعلة للتهديدات”.

وقال لـ TechnewSworld: “يمكن أن تتدرب الذكاء الاصطناعى المدربين على أغراض ضارة بسهولة مسح العيوب واكتشافها وفضحها واستغلالها بسرعة أكبر بكثير مما يمكن للإنسان العادي على الإطلاق”. “هذا هو السبب في أن المعركة من أجل تسخير الذكاء الاصطناعي لأغراض جيدة أمر مهم للغاية.”

يفتقر تصميم تطبيقات الهاتف المحمول إلى الأمان المدمج

وقال ت. فرانك داونز ، مدير الخدمات الاستباقية في Bluevoyant ، وهي شركة للأمن السيبراني في مدينة نيويورك ، إن تطبيقات الأجهزة المحمولة هي أهداف مغرية للجهات الفاعلة للتهديدات لأنها في كل مكان ومعبأة بمعلومات قيمة.

وقال لـ TechnewSworld: “فكر في جميع البيانات الشخصية التي يمكن لتطبيقاتك الوصول إليها – من موقعك وجهات الاتصال إلى تفاصيلك المالية”. “نظرًا لأن الجميع تم لصقهم على هواتفهم باستمرار ، فإن احتمال حصاد البيانات هائل. بالإضافة إلى ذلك ، فإن مشهد تطبيقات الهاتف المحمول متنوع للغاية ، مع الكثير من أنظمة التشغيل ومتاجر التطبيقات ، مما يجعل من الصعب طرح التدابير الأمنية التي تناسب كل سيناريو.”

بالإضافة إلى ذلك ، لا يتم تصميم العديد من تطبيقات الأجهزة المحمولة بشكل آمن. “تتسرب التطبيقات كل ما يحتاجه المهاجمون دون مقاومة” ، كما حافظ كريس وينجفيلد ، نائب الرئيس الأول للابتكارات في 360 خصوصية ، وهو مزود لخدمات الخصوصية الرقمية والأمن في ناشفيل ، تين.

وقال لـ TechnewSworld: “تنبعث تطبيقات الأجهزة المحمولة باستمرار معرفات ناعمة مثل معرفات التثبيت وبيانات تعريف AD SDK والحمولة التحليلية التي تكشف عن موقع الجهاز وبيانات بصمات الأصابع”. “لم يتم تصميم أي منها للأمان ، حيث تم تصميمه في الأصل للإسناد.”

“الجهات الفاعلة التهديد لا تحتاج إلى الوصول إلى الجذر” ، قال. “إنهم يحتاجون فقط إلى عادم البيانات. وتطبيقات الأجهزة المحمولة تمنحها بهدوء ، على نطاق واسع ، عبر ملايين الجلسات. إنها واحدة من أسطح إعادة الاستخدام الأكثر موثوقية اليوم.”

أكد Tovar أن نموذج الأمان لتطبيقات الهاتف المحمول مصمم حول الامتثال التنظيمي ، وليس إيقاف الاحتيال أو عمليات الاستحواذ على الحساب أو الاحتيال. وقال “إنه مكان مثالي للمهاجمين لقضاء وقتهم”.

وأضاف: “سيتابعون المال ، وإذا كان المزيد من الأشخاص يتعاملون مع تطبيقات الهاتف المحمول غير المحمية ، فهذا مجال أخضر حقيقي للمهاجمين”.

تترك الفجوات الأمنية نشاطًا داخل التطبيق

يستفيد المتسللون من Blackhat أيضًا من تركيز العديد من المنظمات على أمن الواجهة الخلفية على حساب أمان نقطة النهاية.

“تركز العديد من المخططات الحالية على تحليلات الخلفية أو إشارات سلوك المستخدم ، والتي لا تكتشف أو تتوقف عن التهديدات التي تحدث مباشرة على الجهاز أو داخل التطبيق” ، أوضح كيرن سميث ، نائب رئيس شركة Global Solutions Engineering في Zimperium ، وهي شركة أمان للهواتف المحمولة مقرها في دالاس.

وقال لـ TechnewSworld: “هذا يترك فجوات للبرامج الضارة ومعالجة وقت التشغيل وسرقة الاعتماد”.

أقر Downs بأن الحماية من جانب الخادم وتحليل نشاط المستخدم لالتقاط السلوك الفردي هي تدابير أمان حاسمة ، لكنها أضاف: “غالبًا ما يفوتون العلامة عندما يتعلق الأمر بتأمين التطبيق نفسه-أشياء مثل منطق التطبيق ، وتخزين البيانات ، والاتصال يمكن أن يكون عرضة للخطر. يمكن أن يترك هذا النهج الثقيل في الخلفية بعض الأبواب مفتوحة على مصراعيها للمهاجمين الذين يعرفون كيفية تحييد الدفاعات التقليدية.”

يتجاهل هذا النهج أيضًا ما يبحث عنه العديد من الجهات الفاعلة الضارة حقًا. وقال وينجفيلد: “لا تزال معظم مخططات الحماية تفترض أن التهديد يعتمد على الاعتماد”. “ومع ذلك ، يمكن أن يبدأ الاستهداف الحديث قبل وجود حساب.”

“AD SDKS ، وأدوات التحليلات ، وشبكات الإسناد تجمع بهدوء مجموعة من البيانات الوصفية-تحديد الموقع الجغرافي المستند إلى IP ، ونموذج الجهاز ، وإصدار نظام التشغيل ، والمنطقة الزمنية ، وأحداث الحركة ، ومعرفات الإعلانات” ، أوضح. “هذا القياس عن بُعد يترك التطبيق على الفور – غير مشفر ، غير مدقق ، وغالبًا ما لم يلاحظه أحد” ، كما أشار.

“لا يوجد أي منها يضرب الواجهة الخلفية ، لذلك لا تراه أدوات الاحتيال التقليدية ، والنماذج السلوكية لا تضع علامة عليها” ، كما تابع. “في هذه الأثناء ، يتم خياطة هذا الدفق معًا عبر التطبيقات لرسم خريطة للحركة واستنتاج الروتين والهويات العنقودية حسب المكان والنمط. الفجوة ليست مجرد تقنية ؛ إنها مفاهيمية. لقد نحمي بيانات الاعتماد في حين أن القياس عن بعد هو ما يتم حصاده.”

لا تزال مخاطر من جانب الخادم تهيمن على تهديدات الهاتف المحمول

ومع ذلك ، هناك مبررات قوية للتركيز على تطبيقات الواجهة الخلفية وواجهة برمجة التطبيقات. وقال جيف ويليامز ، CTO والمؤسس المشارك لشركة Contrast Security ، وهي شركة أمان في وقت التشغيل في لوس ألتوس ، كاليفورنيا: “يحتوي تطبيق الهاتف المحمول على بيانات لمستخدم واحد. يحتوي جانب الخادم على بيانات لجميع المستخدمين”.

“في حين أن هناك بعض المخاطر المثيرة للاهتمام على جانب العميل ، فإن جميع المخاطر الهامة تقريبًا موجودة إلى جانب الخادم” ، قال لـ TechnewSworld. “الخطر غير متماثل للغاية ، ومعظمها يقع على الخادم.”

وأضاف “فرص الهجمات المباشرة على تطبيق الهاتف المحمول محدودة للغاية”. “بشكل عام ، لا يستمع المهاجمون للاتصالات. إنهم يتواصلون مع الخوادم بدلاً من ذلك.”

حافظ إريك شواك ، مدير استراتيجية الأمن السيبراني في SALT Security ، وهو مقدم أمن API في بالو ألتو ، كاليفورنيا ، على وجود اتجاه نحو دمج الحماية داخل التطبيق إلى جانب التدابير الأمنية التقليدية للداخلية. وقال لـ TechnewSworld: “ينشأ هذا الاتجاه من فهم أن تطبيقات الهاتف المحمول أصبحت عرضة بشكل متزايد للهجمات التي تحايل على الدفاعات الخلفية وتضرب مباشرة في التطبيق”.

وقال: “تعمل الحماية الداخلية على تعزيز الأمن من خلال تعزيز التطبيق ضد العبث والهندسة العكسية وهجمات وقت التشغيل”. “هذه الطريقة ضرورية لمعالجة مشهد التهديد المتغير والدفاع ضد الهجمات المتقدمة التي تهدف مباشرة إلى التطبيق.”