Мобил алоқа тизимларда ахборот хавфсизлиги


Ilovaning joylashgan joyi bo’yicha


Download 2.59 Mb.
Pdf ko'rish
bet35/55
Sana03.12.2023
Hajmi2.59 Mb.
#1799394
1   ...   31   32   33   34   35   36   37   38   ...   55
Bog'liq
10.-S.K.GanievT.A.Kuchkarov.TarmoqxavfsizligiMobiltarmoqxavfsizligi

Ilovaning joylashgan joyi bo’yicha: 
- SIM-ilovalar - SIM Application Toolkit (STK) standartga muvofiq 
yozilgan SIM-kartadagi ilovalar; 
- Web-ilovalar – Web-saytlar uchun maxsus versiyalar; 
- muayyan operatsion tizim uchun ishlab chiqilgan mobil ilovalar. 
Muayyan operatsion tizim uchun mobil ilovalar API (application 
programming interface) tatbiqiy dasturlash interfeysidan foydalanib ishlab 
chiqiladi. API – smartfonga o’rnatiluvchi ilovalar (biblioteka, servis) 
taqdim etuvchi tayyor muolajalar, funksiyalar, strukturalar va konstantalar 
nabori. 
Ma’lumotlarni uzatishda ishlatiluvchi texnologiyalarning turi 
bo’yicha: 
- tarmoq ilovalari - TCP/IP protokoli ustidan aloqaning xususiy 
aloqa protokolini, masalan HTTP ni ishlatadi; 
- SIM-ilovalar - SMS (Short Messaging Service) asosidagi ilovalar; 
- server bilan almashish uchun ilovalar (qisqa matnli xabarlar 
ko’rinishida); 
- USSD-ilovalar - USSD (Unstructured Supplementary Service Data) 
asosidagi ilovalar. Servis SMS ga o’xshash, ammo qator farqlanishga ega, 
qisqa xabarlarni uzatishga asoslanadi; 
- IVR-ilovalar – IVR (Interactive Voice Response) texnologiyasiga 
asoslanuvchi ilovalar. Texnologiya oldindan yozilgan tovushli xabarlarga 
va tovush naboriga asoslangan. 
7.2. Mobil ilovalarning namunaviy zaifliklari 
va ulardan himoyalanish choralari 
Kompaniyalar va tashkilotlar mobil texnologiyalardan xodimlar 
ishining unumdorligini va korporativ tizim samaradorligini oshirish 
maqsadida foydalanadilar. Ammo, xakerlar suqilib kirishning va mobil 
ilovalar orqali konfidensial axborotdan foydalanishning yangi usullarini 
topadilar. Ilovalarni ishlab chiqaruvchilari va foydalanuvchilari, mobil 
ilovalarni noto’g’ri konfiguratsiyalash natijasidagi, mobil qurilmalar 
xavfsizligining buzilishini bilib qoladilar. So’z, mobil tizimlarining 
umumiy xavfsizligining jiddiy kamaytiruvchi ilova himoyasidagi 
bo’shliqlar to’plami xususida boradi. Bu kodni va xavfsizlik 
konfiguratsiyasi to’liq tekshirmasdan mobil ilovalarning bozorga 


88 
chiqarilishi tufayli sodir bo’ladi. Shuning uchun, ishlab chiqaruvchilar va 
foydalanuvchilar mobil qurilmalarning eng ko’p tarqalgan zaifliklari va 
ular bilan doimiy kurashishning eng mukammal usullarini bilishlari muhim 
hisoblanadi. 
Quyida mobil ilovalar va qurilmalar moyil 10 ta asosiy zaifliklar va 
ulardan himoyalanish choralari bo’yicha takliflar bayon etilgan. 
1. Arxitekturaviy cheklashlarni chetlab o’tish 
(Improper Platform Usage). 
Zaifliklarning ushbu kategoriyasi operatsion tizim (platforma) va 
platforma xavfsizligini boshqarishni nazoratlash tizimida o’rnatilgan 
cheklashlarni chetlab o’tishning o’ziga xos xususiyatlaridan foydalanadi. 
Ushbu zaiflik Android va iOS platformalariga va boshqa mobil operatsion 
tizimlarga xos. 
Takliflar. Mobil ilovaning server qismida dasturiy kodni qurishning 
va konfiguratsiyalashning xavfsiz usullaridan foydalanish lozim. Xususan, 
API-interfeys uni chaqiruvchi shaxsning identifikatsiyasini va vakolatini 
ishonarli tekshirishi lozim. 
2. Ma’lumotlarni xavfli saqlash (Insecure Data Storage). 
Ishlab chiqaruvchilar jamoasi, foydalanuvchilar yoki zararli kod 
konfidensial axborot saqlanuvchi mobil qurilmalarning fayl tizimidan 
foydalana olmaydilar deb hisoblaydilar. Ammo, fayl tizimini chetlab o’tish 
va unga suqilib kirishning ko’pgina usullari mavjud: 
- ilova yaratuvchi fayllar uchun foydalanish huquqlarini noto’g’ri 
belgilash. Testlash bosqichida (ishlab chiqaruvchilar) foydalanish 
huquqlarini ko’pincha belgilaydilar va ularni dasturiy mahsulotni yakuniy 
chiqarishda tahrirlashni unutadilar. Natijada niyati buzuqlarda ruhsatsiz 
foydalanishga imkoniyat paydo bo’ladi; 
- SD-kartada muhim ma’lumotlarni saqlash. Foydalanuvchilar 
ko’pincha muhim ma’lumotlarni SD-kartada saqlaydilar. Bunday 
ma’lumotlardan barcha ilovalar foydalanishlari mumkinligini unutadilar; 
- jurnallashtirish. Jurnallar mobil operatsion tizimda sodir bo’ladigan 
barcha hodisalar xususidagi yozuvlarni ro’yxatga oluvchi fayllardan iborat. 
Android da har qanday ilova o’rnatilishida jurnallarni o’qish huquqini 
talab etishi mumkin. Foydalanuvchilarning ko’pchiligi bunga e’tibor 
bermaydilar. Xavflilik shundan iboratki, foydalanuvchi tomonidan 
jurnallarni o’qish huquqini olgan har qanday o’rnatiluvchi ilova barcha 
axborotni o’qish huquqini oladi. Ko’pincha jurnallarga shifrlanmagan 
sozlash axboroti va shaxsiy ma’lumotlar tushib qoladi; 


89 
- superfoydalanuvchi (ma’mur) huquqlarini olish. Smartfon 
foydalanuvchilari, begona ilovalarni o’rnatish imkoniyatini ta’minlash 
maqsadida, ko’pincha qurilmaning fayl tizimidan to’laqonli foydalanishga 
intiladilar. Apple kompaniyasining mobil qurilmalarida ushbu muolaja Jail 
Break, 
Android-cmartfonlarda 
esa 
Root-huquqlarni 
(yoki 
superfoydalanuvchi huquqlarini) olish deb ataladi. Ta’kidlash lozimki, Jail 
Break root oddiy opsiya bo’lmay, qurilmaning barcha xavfsizlik tizimining 
komprometatsiyasi hisoblanadi. 

Download 2.59 Mb.

Do'stlaringiz bilan baham:
1   ...   31   32   33   34   35   36   37   38   ...   55




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling