آشنایی با امنیت اپلیکیشن های موبایل در آفریقا

محققان CyLab-Africa و شبکه Upanzi اخیراً با ارائه‌دهنده امنیت تلفن همراه Approov همکاری کردند تا امنیت برنامه‌های خدمات مالی رایج مورد استفاده در سراسر آفریقا را بررسی کنند. پس از بررسی 224 برنامه مالی محبوب، محققان دریافتند که 95 درصد از این برنامه های اندروید رازهایی را افشا کرده اند که می توان از آنها برای افشای داده های شخصی و مالی استفاده کرد. در این برنامه‌ها، تقریباً ۲۷۲ میلیون کاربر این امکان را دارند که قربانی نقص‌های امنیتی شوند.

تیم دانشگاه کارنگی ملون آفریقا شامل فارغ التحصیلان و یک دانشجوی فعلی بود که همگی به عنوان محقق با CyLab-Africa در رواندا کار می کنند: Theoneste Byagutangaza (MSIT '23)، Trevor Henry Chiboora (MSIT '23)، Joel Jefferson Musiime (MSIT '24) ، و لنا چاچا (MSIT '17).

این پروژه بخشی از یک تجربه همکاری تابستانی بود که در آن محققان CyLab-Africa از Approov راهنمایی و راهنمایی دریافت کردند. Assane Gueye و Giulia Fanti از کارگردانان CyLab-Africa به عنوان مشاور این پروژه خدمت کردند.

“شرکت در این پروژه تجربه ای پرارزش و در عین حال چالش برانگیز بود. شامل تحقیقات عمیق در مورد عواقب نشت کلیدهای مخفی بود که در ابتدا ثابت شد کار بسیار دشواری بود. با این حال، همکاری با یک تیم متنوع مهارت های حل مسئله من را تقویت کرد. در دوران دانشجویی در CMU، و پروژه را به یک فرصت یادگیری ارزشمند تبدیل کردم.”

این تیم برنامه‌های اندروید را از کشورهای شمال، مرکزی، شرقی، غربی و جنوبی آفریقا انتخاب و بررسی کردند و تهدیدات امنیتی را به شدت «بالا»، «متوسط» و «کم» دسته‌بندی کردند. بیشتر تهدیدها در رده های بالا (18 درصد) و متوسط ​​(72 درصد) قرار دارند.

یک طبقه‌بندی با شدت بالا برای آسیب‌پذیری‌هایی که به طور بالقوه می‌توانند منجر به دسترسی غیرمجاز، نقض داده‌ها و به خطر افتادن حریم خصوصی کاربر شوند، استفاده شد. شدت متوسط ​​برای اسرار مورد استفاده قرار گرفت که در صورت فاش شدن، به طور بالقوه می تواند محرمانه بودن داده های کاربر و عملکرد برنامه را به خطر بیندازد.

Musiime می‌گوید: «این پروژه که در زمینه امنیت موبایل جدید بود، تجربه یادگیری خوبی بود، زیرا به من درکی از طراحی و استقرار برنامه‌های موبایل از منظر امنیتی داد. “همکاری با تیم مجرب Approov در زمینه امنیت موبایل کمک زیادی به فرآیند یادگیری من کرد، زیرا آنها همیشه آماده و مایل به ارائه راهنمایی و پشتیبانی در طول تحقیقات بودند.”

کار به اوج خود رسید یک گزارش که مقایسه بین مناطق دیگر و آفریقا را ترسیم می کند، روندها، اشتراکات و تفاوت های مربوط به قرار گرفتن در معرض کلیدهای مخفی در بسته باینری یک برنامه تلفن همراه را مشخص می کند. برای مثال، آن‌ها دریافتند که اپلیکیشن‌های مستقر در غرب آفریقا از نظر قرار گرفتن در معرض مخفیانه با شدت بالا (20%) و آفریقای جنوبی کمترین (تنها 6%) در معرض دید قرار گرفته‌اند.

“گزارش پروژه برای طیف وسیعی از مخاطبان از جمله صاحبان محصول، توسعه دهندگان و کاربران روزمره ارزش قابل توجهی دارد. این گزارش نه تنها نگرانی های امنیتی مربوط به اسرار و کلیدهای API در بسته های اندروید را روشن می کند، بلکه توصیه های ارزشمندی را برای کاهش این مشکلات ارائه می دهد.” چیبورا می گوید.