2022-08-28 09:56:33
8- رمزگذاری
در اینجا، منظور من رمزگذاری فضای ذخیره سازی محلی نیست. من فقط رمزگذاری بین برنامه و سرور را فاش می کنم و فقط از طریق تماس API ورود به بانک. من با بقیه ترافیک کاری نداشتم چون در همه آنها اکانتی ندارم که بتوانم اصلاً تست کنم. اگر در این ارتباط از رمزگذاری استفاده کرده اند باید از آنها تمجید کرد زیرا تجزیه و تحلیل ترافیک را یک مرحله دشوارتر می کنند.
9- ابهام
مورد دیگری که تجزیه و تحلیل استاتیک را برای مهاجم دشوارتر می کند معرفی شده است.
10- کد بومی
معمولاً کدهای موجود در اپلیکیشنهای اندروید جاوا/کوتلین هستند و با توجه به ویژگیهای این زبانها، معکوس کردن و تبدیل آنها به کد نسبتاً مشابه کد خاصی که توسط برنامهنویس نوشته شده است، دشوار نخواهد بود. اما گاهی اوقات برای عملکرد بیشتر یا امنیت بیشتر از c/c++ استفاده می کنند، بنابراین تحلیل و مهندسی معکوس این کدها به سادگی کدهای جاوا نخواهد بود. حال فرض کنید که آنها یکی از مکانیسم های امنیتی را با استفاده از کدهای بومی (مثلاً SSL-pin) پیاده سازی کرده باشند، اکنون مهاجم باید کارهای بسیار بیشتری برای دور زدن آن مکانیسم امنیتی انجام دهد.
در اینجا، برای اینکه زیاد وارد حریم خصوصی اپلیکیشن ها نشویم، به دیدن پوشه lib رای مثبت دادم، اما نکته دقیق تر این است که ببینیم آیا مکانیزم امنیتی به صورت بومی نوشته شده است یا خیر.
بنابراین ممکن است در این تست، false/positive بیش از حد باشد.
نتیجه
خیلی زود به نظر می رسد که بتوان نتیجه گرفت که آیا بانک ها آن طور که باید به امنیت خود اهمیت می دهند یا خیر، اما می توانم بگویم که تا این لحظه و بدون توجه به دیگر عامل امنیت، بانک ملی و ملت فراتر از انتظار من بوده اند.
نکته دیگر این است که تمام فاکتورهایی که بررسی شد توسط یک متخصص قابل دور زدن است و اینطور نیست که اگر اپلیکیشنی برای استفاده از آنها بیاید صد در صد ایمن است. هر یک از آنها فقط باعث می شود که حمله به تعویق بیفتد یا برای برخی مهاجمان تازه کار دست از کار بکشند.
اگر به امنیت اندروید علاقه دارید، این مخزن را برای نقشه راه، اسناد و نوشتهها بررسی کنید:
https://github.com/Ralireza/Android-Security-Teryaagh
504 views06:56
ج
