نرمافزارهای موبایلی در دنیای امروز تنها اطلاعات عمومی کاربر را حفظ و منتقل نمیکنند، بلکه اطلاعات سری امنیتی نیز جزو مواردی است که امروزه توسط اپهای موبایلی منتقل میشود که از آن جمله میتوان به اطلاعات تراکنش مشتریان اشاره کرد که میتواند جهت دزدی هویت مورد استفاده قرار گیرد.
به گزارش پایگاه خبری بانکداری الکترونیک،نرمافزارهای موبایلی در دنیای امروز تنها اطلاعات عمومی کاربر را حفظ و منتقل نمیکنند، بلکه اطلاعات سری امنیتی نیز جزو مواردی است که امروزه توسط اپهای موبایلی منتقل میشود که از آن جمله میتوان به اطلاعات تراکنش مشتریان اشاره کرد که میتواند جهت دزدی هویت مورد استفاده قرار گیرد.
علاوه بر این، از آنجایی که سیستم ابزاری در این روند براساس نظریه «هر کس ابزار خود را به همراه داشته باشد (BYOD)» است بنابراین، مشکلاتی جهت قانونمند کردن ابزارها در زمینه دسترسی به اطلاعات شرکتی نیز وجود دارد. این پیچیدگیها به همراه افزایش دسترسی موبایلها به مرزهای امنیتی اطلاعات شرکتها همهروزه منجر به افزایش ریسک امنیتی آنها میشود. اگر این مرزها شکسته شوند منجر به خسارات مالی و حقوقی قابلتوجهی به شرکتها و بانکها خواهد شد. موبایلهای گم شده یا دزدیده شده نیز میتوانند به عنوان یک کانال جهت فعالیتهای غیرمجاز امنیتی مورد استفاده قرار گیرند. هکرها میتوانند از این موبایلها به عنوان نقطه حمله و اجرای سناریوهای دزدی استفاده کنند.
همهروزه با توسعه ابزارهای ارتباطی، اپهای موبایلی نیز توسعه قابلتوجهی پیدا میکنند. این امر منجر به پیچیده شدن محیطهای نرمافزاری آنها شده است و امروز اپهای موبایلی اطلاعاتی را گردآوری، ذخیره و منتقل میکنند که سیستمهای تحت وب به هیچ عنوان امکان انجام این فعالیتها را ندارند. توسعهدهندگان اپهای موبایلی باید در این دوران همیشه با اطلاع کامل از مسائل امنیتی به توسعه نرمافزارهای موبایلی بپردازند.
چشماندازه توسعه موبایلها
ابزارهای موبایل هنوز هم درحال جایگزینی با ابزارهای بزرگ قدیمی در انواع سیستمهای تجاری و شخصی هستند. این تغییرات منجر شده است تا رفتار مشتریان به یکی از مسائل مهم در زمینههای امنیت شرکتها تبدیل شود. بنابراین، با توسعه ابزارهای موبایل اولین مسائلی که مدنظر شرکتها باید قرار گیرد مسائل امنیتی است. براساس آمارهای بهدست آمده در حدود ۳۵ درصد از ارتباطات موبایلی رمزگذاری نشدهاند و بهطور متوسط هر ابزار موبایلی با ۱۶۰ آدرس پروتکل اینترنتی در تماس است، و این امر منجر به افزایش ریسک امنیتی شده است.
در حدود ۴۳ درصد از مردم نیز هیچ پسورد یا الگوی امنیتی جهت دسترسی به اطلاعات موبایل خود نگذاشتهاند و ترکیب این دو عامل منجر میشود تا از هر ۴ اپ موبایلی یک اپ ریسک امنیتی ایجاد کند. زیرساخت نرمافزارهای موبایلی، حساسیت دسترسی و همراه با آن، افزایش ارتباطات اینترنتی منجر شده است تا محیطهای موبایلی به یک چالش منحصربهفرد در زمینه امنیت تبدیل شود.
حل این چالشها تنها از راه افزایش امنیت موبایلی امکانپذیر بوده که منجر به افزایش درجه انعطاف و عملکرد مشتری نهایی نیز خواهد شد. در نتیجه مشتریان میتوانند در هر کجا و در هر زمان بدون به خطر افتادن امنیت اطلاعات حساس، به شبکه متصل شوند.
ریسکهای موبایلی در بانکداری
بزرگترین پلتفرمهای موبایلی دنیا سیستم iOS اپل و سیستم اندروید گوگل هستند. محیطهای موبایلی محیطهای پیچیدهای هستند که با گذر زمان روزبهروز تکامل پیدا میکنند. این امر منجر میشود تا محیط بسیار پویای توسعهدهندگان موبایلی کاملا برقرار باشد. در نتیجه ابزارها و امکانات جدید توسعه نرمافزاری هر روز بهوجود آمده و توسعهدهندگان همیشه به دنبال استفاده از جدیدترین ابزارهای توسعه نرمافزار موبایلی هستند.
نحوه طراحی نرمافزارهای موبایلی بهگونهای است که منجر به افزایش توانمندی موبایلها شود نیز خود یک تهدید امنیتی به شمار میرود. امکانات هر یک از ابزارها میتواند تفاوتهای بسیار داشته باشد که شامل توانایی جستوجوی اینترنت، GPS، دوربین و غیره میشود. اما استفاده اهرمی از این ابزارها است که میتواند چالشی جدی در سیستم امنیتی ایجاد کند. یکی از نمونههای این ابزارها امکانات سپردهگذاری از طریق موبایل است که فرد میتواند با ارسال تصویر فیش پرداختی از طریق دوربین موبایل، واریز وجه خود را تایید کند.
پروژه امنیت نرمافزارهای اوپن وب (OWASP) یکی از پروژههایی است که به ارزیابی ریسکهای موبایلی میپردازد. این پروژه با همکاری دو شرکت اکسنچر و NowSecure به انجام رسیده است که در آن ۱۰ ریسک مهم ابزارهای موبایلی برشمرده شده است. براساس نتایج این پروژه ۱۰ ریسک شامل موارد زیر است:
۱- استفاده نادرست از پلتفرم
۲- ذخیره ناامن اطلاعات
۳- ارتباطات ناامن
۴- احراز هویت ناامن
۵- رمزنگاری ناکافی
۶- مجوزهای ناامن
۷- کیفیت دستورالعمل مشتری
۸- تهاجم دستورالعملی
۹- مهندسی معکوس
۱۰- عملکردهای بیش از اندازه
سطوح حمله
سطوح حمله شامل بخشهایی از ابزارهای موبایلی است که هکرها میتوانند از طریق آنها به نرمافزار و اطلاعات امنیتی رخنه کرده و به اهداف خود برسند. این سطوح شامل سه بخش اصلی خود موبایل، شبکه موبایل و مراکز اطلاعاتی موبایل است. فعالیتهای کلاهبرداری در رابطه با هر سطح در شکل زیر ارائه شده است.
منبع خبر: پایگاه خبری بانکداری الکترونیک