تقوم المؤسسات بتطوير تطبيقات (Android) بسرعة فائقة لتلبية احتياجات العمل، ومع ذلك، فقد فشلوا في اعتبار أمان تطبيقات (Android) جزءًا من تركيزهم على تطوير التطبيقات، حيث يحتوي نظام تشغيل (Android) على طبقات حماية.
ما هي إجراءات أمان تطبيقات Android
1. حماية طبقة نقل البيانات
من أول الأشياء التي سيبحث عنها المهاجم عند استهداف تطبيق (Android) هو معرفة ما إذا كان بإمكانه اعتراض أي من البيانات التي تمر بينه وبين الواجهة الخلفية للخادم، من خلال التنصت على تلك الاتصالات، يمكنهم إخبار الكثير عن التطبيق، وقد يتمكنون حتى من استخدام البيانات لمعرفة كيفية انتحال شخصية التطبيق والحصول على وصول غير مناسب إلى البيانات من جانب الخادم، لذا فإن الخطوة الأولى في جهود تأمين تطبيق (Android)، حماية طبقة نقل البيانات الخاصة بها من خلال استخدام تشفير قوي.
يمكن القيام بذلك عن طريق الاستفادة من بروتوكولات مثل: (SSL و TLS)، والتي يسهل إضافتها إلى التعليمات البرمجية الخاصة ومن الصعب للغاية التنازل عنها، إذا كان المستخدم يتعامل مع بيانات حساسة بشكل خاص، فقد يرغب في المضي قدمًا قليلاً وإنشاء حل من نوع (VPN) مباشرة في تطبيقه، تعد تطبيقات (Android VPN) شائعة جدًا في الوقت الحالي لدرجة أن مجرد ذكر الميزة سيتيح للمستخدمين معرفة الجدية بشأن أمان بياناتهم وهذه دائمًا مكافأة علاقات عامة.
ملاحظة: “TLS” اختصار لـ”Transport Layer Security”.
ملاحظة: “SSL” اختصار لـ”Secure Sockets Layer”.
2. حماية الدفاعات الاستباقية لبيانات العبور
مثل الكشف المتقدم عن كسر الحماية والتحكم في الوصول المستند إلى الحالة، لا يمكن للأجهزة التي تم الإعلان عن عدم امتثالها الوصول إلى بيانات الشركة، في حالة سرقة الجهاز أو فقده، يمكن للمستخدم حذف التطبيقات وبيانات الأعمال، حتى لا تقع في الأيدي الخطأ، يسمح محو البيانات الانتقائي للمستخدمين أو قسم تكنولوجيا المعلومات بمسح بيانات المؤسسة المخزنة على الجهاز عن بُعد.
3. الحماية من حقن الكود
نظرًا لأن معظم التطبيقات تفاعلية، فإنها ستوفر للمستخدمين القدرة على إدخال البيانات بشكل أو بآخر، يمكن أن يكون ذلك من خلال حقول إدخال النص مثل النماذج أو من خلال عمليات تحميل البيانات المباشرة لتبادل أشياء مثل المستندات والصور، وفي كل مرة تضاف فيها ميزة إدخال المستخدم، يجب أن يبذل مجهودًا كبيرًا للتأكد من أنه لا يمكن لأي شخص استخدامها ضده.
الطريقة المثالية لمعالجة هذا هو استخدام التحقق الصحيح من الإدخال، يمكن القيام بذلك عن طريق إضافة وحدة تحقق نصية مسبقة الصنع أو عن طريق إنشاء وحدة خاصة بالمستخدم، إذا كان المستخدم يخطط للسماح بتحميل الصور أو غيرها من الملفات المحددة، فيجب عليه تضمين قدرة التطبيق على فحص الملف الذي تم تحميله.
4. تشفير كود المصدر
نظرًا لأن معظم الكود الموجود في تطبيق جوّال أصلي موجود على جانب العميل، يمكن للبرامج الضارة للجوّال بسهولة تتبع الأخطاء ونقاط الضعف داخل الكود المصدري والتصميم، يعيد المهاجمون عمومًا حزم التطبيقات الشهيرة في التطبيق باستخدام تقنية الهندسة العكسية، ثم يقومون بتحميل هذه التطبيقات في متاجر تطبيقات تابعة لجهات خارجية بقصد جذب المستخدمين.
يمكن أن تؤدي مثل هذه التهديدات إلى تدهور سمعة المؤسسة، لذلك يجب أن يتوخى المطورون الحذر أثناء إنشاء التطبيق وأن يشتملوا على أدوات لاكتشاف الثغرات الأمنية ومعالجتها، يجب على المطورين التأكد من أن تطبيقاتهم قوية بما يكفي لمنع أي هجمات تلاعب، حيث يمكن أن يكون تشفير شفرة المصدر طريقة مثالية للدفاع عن التطبيق من هذه الهجمات لأنه يضمن عدم إمكانية قراءتها.
5. تأمين الواجهة الخلفية
تمتلك غالبية تطبيقات الهاتف المحمول آلية بين العميل والخادم، من الضروري وجود تدابير أمنية للحماية من الهجمات الضارة على الخوادم الخلفية، يفترض معظم المطورين أن التطبيق الذي تمت برمجته للوصول إلى واجهات برمجة التطبيقات هو فقط من يمكنه الوصول إليه، ومع ذلك، يجب على المستخدم التحقق من جميع واجهات برمجة التطبيقات (API) الخاصة به وفقًا للنظام الأساسي للجوّال الذي تهدف إلى ترميزه لأن مصادقة واجهة برمجة التطبيقات وآليات النقل يمكن أن تنحرف من نظام أساسي إلى آخر.
ملاحظة: “API” اختصار لـ”Application Programming Interface”.
6. تقليل تخزين البيانات الحساسة
يتم تقليل تخزين البيانات الحساسة لحماية البيانات الحساسة من المستخدمين، حيث يفضل المطورون تخزين البيانات في الذاكرة المحلية للجهاز، ومع ذلك، فمن الأفضل تجنب تخزين البيانات الحساسة لأنها قد تزيد من مخاطر الأمان، إذا لم يكن لدى المستخدم خيار آخر بخلاف تخزين البيانات، فمن الأفضل استخدام حاويات البيانات المشفرة أو سلسلة المفاتيح.
بالإضافة إلى ذلك، يجب التأكد من تصغير السجل عن طريق إضافة ميزة الحذف التلقائي، والتي تحذف البيانات تلقائيًا بعد وقت معين، لا شك أن مشكلات أمان تطبيقات الأجهزة المحمولة أصبحت مصدر قلق ذي أولوية للمطورين مع زيادة مخاطر الأنشطة الضارة، ينتج عنه حذر المستخدمين من تثبيت تطبيقات غير موثوقة.
7. المصادقة الثنائية 2FA
إن المصادقة الثنائية (2FA) ضرورية وتستحق التنفيذ، يحتاج المستخدم أيضًا إلى الانتباه إلى كيفية التعامل مع أشياء مثل تبادل المفاتيح، كحد أدنى، يجب أن يستخدم تشفير (AES) للحفاظ على أمان هذه المعاملات، كما يجب عليه التأكد من استخدام الأمان المستند إلى الرمز المميز لمصادقة الطلبات المشروعة من تطبيقه إلى خلفيته، وهذا يجعل مثل هذه الطلبات صعبة بما يكفي لدرجة أنه حتى إذا وجد المهاجم طريقة لعرض دفق بيانات مباشر، فلن يكون لديه طريقة لاستخدام هذه المعلومات لشن هجوم.
يؤدي عدم وجود مصادقة عالية المستوى إلى انتهاكات أمنية، يجب على المطورين تصميم التطبيقات بطريقة لا تقبل إلا كلمات مرور أبجدية رقمية قوية، علاوةً على ذلك، من الأفضل جعل تغيير كلمات المرور بشكل دوري إلزاميًا على المستخدمين، بالنسبة للتطبيقات الحساسة للغاية، يمكن تعزيز الأمان باستخدام المصادقة البيومترية باستخدام فحص شبكية العين، سيكون تشجيع المستخدمين على ضمان المصادقة هو الطريقة الموصى بها لتجنب الانتهاكات الأمنية.
ملاحظة: “2FA” اختصار لـ”Two-factor authentication“.
8. اختبارات الاختراق
القيام بإجراء فحص شامل لضمان الجودة والأمان، من الممارسات الجيدة باستمرار اختبار التطبيق مقابل سيناريوهات الأمان التي تم إنشاؤها عشوائيًا قبل كل عملية نشر، يمكن أن يؤدي اختبار القلم إلى تجنب المخاطر الأمنية ونقاط الضعف في تطبيقات الأجهزة المحمولة الخاصة بالمستخدم، إن الكشف عن الثغرات في النظام ضرورة مطلقة، نظرًا لأن هذه الثغرات يمكن أن تنمو لتصبح تهديدات محتملة تتيح الوصول إلى بيانات الجوال وميزاته.
9. بصمة الإصبع
تحتوي هواتف (Android) على مستشعر بصمات الأصابع يمكن إعداده، يمكن أن توفر بصمات الأصابع مصادقة وحماية أكثر أمانًا من كلمات المرور.
يمكن أن تكون مخاطر خرق البيانات كبيرة، لذلك من المهم تجنب فقدان أي شكل من أشكال المعلومات الشخصية والسرية والمحافظة على سلامة المستخدمين.
