محققان CyLab-Africa و شبکه Upanzi اخیراً با ارائهدهنده امنیت تلفن همراه Approov همکاری کردند تا امنیت برنامههای خدمات مالی رایج مورد استفاده در سراسر آفریقا را بررسی کنند. پس از بررسی 224 برنامه مالی محبوب، محققان دریافتند که 95 درصد از این برنامه های اندروید رازهایی را افشا کرده اند که می توان از آنها برای افشای داده های شخصی و مالی استفاده کرد. در این برنامهها، تقریباً ۲۷۲ میلیون کاربر این امکان را دارند که قربانی نقصهای امنیتی شوند.
تیم دانشگاه کارنگی ملون آفریقا شامل فارغ التحصیلان و یک دانشجوی فعلی بود که همگی به عنوان محقق با CyLab-Africa در رواندا کار می کنند: Theoneste Byagutangaza (MSIT '23)، Trevor Henry Chiboora (MSIT '23)، Joel Jefferson Musiime (MSIT '24) ، و لنا چاچا (MSIT '17).
این پروژه بخشی از یک تجربه همکاری تابستانی بود که در آن محققان CyLab-Africa از Approov راهنمایی و راهنمایی دریافت کردند. Assane Gueye و Giulia Fanti از کارگردانان CyLab-Africa به عنوان مشاور این پروژه خدمت کردند.
“شرکت در این پروژه تجربه ای پرارزش و در عین حال چالش برانگیز بود. شامل تحقیقات عمیق در مورد عواقب نشت کلیدهای مخفی بود که در ابتدا ثابت شد کار بسیار دشواری بود. با این حال، همکاری با یک تیم متنوع مهارت های حل مسئله من را تقویت کرد. در دوران دانشجویی در CMU، و پروژه را به یک فرصت یادگیری ارزشمند تبدیل کردم.”
این تیم برنامههای اندروید را از کشورهای شمال، مرکزی، شرقی، غربی و جنوبی آفریقا انتخاب و بررسی کردند و تهدیدات امنیتی را به شدت «بالا»، «متوسط» و «کم» دستهبندی کردند. بیشتر تهدیدها در رده های بالا (18 درصد) و متوسط (72 درصد) قرار دارند.
یک طبقهبندی با شدت بالا برای آسیبپذیریهایی که به طور بالقوه میتوانند منجر به دسترسی غیرمجاز، نقض دادهها و به خطر افتادن حریم خصوصی کاربر شوند، استفاده شد. شدت متوسط برای اسرار مورد استفاده قرار گرفت که در صورت فاش شدن، به طور بالقوه می تواند محرمانه بودن داده های کاربر و عملکرد برنامه را به خطر بیندازد.
Musiime میگوید: «این پروژه که در زمینه امنیت موبایل جدید بود، تجربه یادگیری خوبی بود، زیرا به من درکی از طراحی و استقرار برنامههای موبایل از منظر امنیتی داد. “همکاری با تیم مجرب Approov در زمینه امنیت موبایل کمک زیادی به فرآیند یادگیری من کرد، زیرا آنها همیشه آماده و مایل به ارائه راهنمایی و پشتیبانی در طول تحقیقات بودند.”
کار به اوج خود رسید یک گزارش که مقایسه بین مناطق دیگر و آفریقا را ترسیم می کند، روندها، اشتراکات و تفاوت های مربوط به قرار گرفتن در معرض کلیدهای مخفی در بسته باینری یک برنامه تلفن همراه را مشخص می کند. برای مثال، آنها دریافتند که اپلیکیشنهای مستقر در غرب آفریقا از نظر قرار گرفتن در معرض مخفیانه با شدت بالا (20%) و آفریقای جنوبی کمترین (تنها 6%) در معرض دید قرار گرفتهاند.
“گزارش پروژه برای طیف وسیعی از مخاطبان از جمله صاحبان محصول، توسعه دهندگان و کاربران روزمره ارزش قابل توجهی دارد. این گزارش نه تنها نگرانی های امنیتی مربوط به اسرار و کلیدهای API در بسته های اندروید را روشن می کند، بلکه توصیه های ارزشمندی را برای کاهش این مشکلات ارائه می دهد.” چیبورا می گوید.
اطلاعات بیشتر:
گزارش: approov.io/info/security-chall … obile-apps-in-africa
نقل قول: درک امنیت برنامه های تلفن همراه در آفریقا (2024، 2 ژانویه) بازیابی شده در 2 ژانویه 2024 از
این برگه یا سند یا نوشته تحت پوشش قانون کپی رایت است. به غیر از هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوای مذکور فقط به هدف اطلاع رسانی ایجاد شده است.