به گزارش كارا پیام به نقل از ایسنا، با عنایت به استفاده روزافزون از سامانه های هوشمند همراه در میان اقشار مختلف جامعه و قابلیت های بسیاری كه دستگاه های تلفن همراه در اختیار كاربران قرار می دهند، تضمین امنیت سامانه های هوشمند همراه حائز اهمیت است. یكی از مواردی كه امنیت سامانه های هوشمند همراه را به مخاطره می اندازد، درگاه های عرضه و توزیع برنامك ها (اپلیكیشن ها) است.
فروشگاه های برنامك نقش مهمی را در تضمین امنیت گوشی های هوشمند ایفا می كنند و در صورت رعایت سفارش های امنیتی می توانند از كاربران در مقابل توسعه دهندگان بدافزارها و برنامك های ناامن محافظت كنند.
در سندی كه توسط مركز ماهر از زیرمجموعه های سازمان فناوری اطلاعات انتشار یافته است، تهدیدات یعنی عامل بالقوه ای كه از صدمه پذیری های موجود در سامانه ها استفاده می كند تا بتواند مقاصد مورد نظر حمله كننده را برآورده كند، اعلام شده است.
در این سند، «فروشگاه برنامك» توزیع كنندگان یا بازارهایی هستند كه برنامك ها را به صورت مجانی یا برای فروش به كاربران عرضه می كنند. فروشگاه برنامك فرصت مناسبی را در اختیار توسعه دهندگان قرار می دهد تا به بازار برنامك های گوشی های هوشمند ورود كرده و كسب درآمد كنند. توسعه دهندگان می توانند با استفاده از پنجره مخصوصی كه فروشگاه در اختیار آنها قرار می دهد، برنامك های خویش را منتشر، به روزرسانی و مدیریت كنند.
تهدیدات توزیع برنامه
در مخاطره دور زدن فروشگاه برنامك رسمی، برنامك های خویش را با استفاده از فروشگاه های غیرمجاز (یا منابع تاییدنشده) عرضه می كند. بعد از آن فعالیت های غیرمجاز همانند افزودن برنامك های مخرب و روت كیت به فروشگاه غیررسمی را انجام می دهد.
در صورت وجود صدمه پذیری در برنامك های نصب شده، مهاجم اطلاعات حساس (همانند مشخصات كاربرانی كه اقدام به نصب برنامك كرده اند، اطلاعاتی كه مشخص می كنند كدام برنامك ها برروی كدام دستگاه نصب شده اند و همینطور اطلاعات مربوط به دستگاهی كه كاربر مورد استفاده قرار می دهد) را به دست می آورد.
در تبدیل برنامك ها به برنامك های مخرب، فقط تهدیدات مربوط به اجرای برنامك مورد توجه قرار می گیرند، زیرا در اغلب موارد، رفتار مخرب در زمان اجرا پدیدار می گردد. در این نوع تهدیدات، مهاجم فرآیند اجرای برنامك را جعل یا دست كاری كرده و یا روی فرآیند اجرا سربار اعمال كرده تا اقدام به انجام عملیات مخرب كند.
در مخاطره دور زدن فرآیند بررسی برنامك ها، مهاجم تهدیداتی را اعمال كرده و فرآیند بررسی برنامك را دور می زند. رفتارهای پرخطر از جانب توسعه دهندگان شناخته شده می تواند نشانه ای از یك حمله (همانند حمله فیشینگ) باشد.
مخاطره تحریف اعتبار برنامك ها بدین صورت است كه مهاجم چندین هویت مستعار برای خود بوجود آورده و با به دست آوردن نفوذ زیاد، اعتبار برنامك عرضه شده در فروشگاه را تحریف می كند (با این هدف كه اعتبار بیشتری را برای برنامك ها نشان دهد).
در مخاطره ممانعت از تشخیص توسط كاربر، مهاجم با استفاده از اعمال سربار روی فروشگاه برنامك یا جعل فروشگاه برنامك، از این كه كاربران بتوانند نظرات و شكایات خویش را ثبت كنند یا توضیحات مربوط به برنامك را مشاهده كنند، ممانعت می كنند. مخاطره ممانعت از دریافت به روزرسانی ها و امحاء برنامك هم بدین صورت است كه مهاجم با استفاده از انجام فعالیت های مخرب مانع از دریافت به روزرسانی ها یا امحاء مربوط به برنامك های نصب شده روی دستگاه كاربر می گردد.