O`ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI Mustaqil Ish Mavzu: Dasturiy ta’minot xavfsizligini ta’minlashda zaifliklar turlari. Guruh: 730-21 Fan: Kiber-huquq va kiber-etika Bajardi: Babajanov Jaloliddin Tekshirdi: Turdibekov Baxtiyor Toshkent– 2024 REJA: Kirish. Asosiy qism: 1. Mobil ilovalardagi eng keng tarqalgan zaifliklar 2. Platformani noto‘g‘ri ishlatish. 3. Xavfsiz ma’lumotlarni saqlash. 4. Ishonchsiz aloqa. 5. Zaif autentifikatsiya. 6. Kriptografiya yetarli emas. 7. Zaif avtorizatsiya. 8. Mijoz kodi sifati. 9. Kodni buzish. 10.Teskari muhandislik. 11.Chetdan tashqari funksionallik. 12.Mobil ilovalar xavfsizligini oshirishning ahamiyati. 13.Mobil ilovalarning penetration testi nima? Xulosa. Foydalanilgan Adabiyotlar. Kirish 2023-yilning ikkinchi choragida Kasperskiy mahsulotlari 5 milliondan ortiq mobil qurilmalar uchun zararli dasturlar, reklama dasturlari va xavfli dasturlar hujumlarini blokladi. Shuningdek, ular 400 mingdan ortiq zararli o‘rnatish paketlarini aniqladilar. Yana bir tadqiqot shuni ko‘rsatdiki, 2700 ta dasturiy ta’minot va mobil ilovalarda o‘tkazilgan 4000 dan ortiq penetration testlarining 95 foizi maqsadli ilovalardagi zaifliklarni aniqladi. Bu faktlar mobil aloqadagi zaiflik tashkilotlar va foydalanuvchilar uchun tobora ortib borayotgan muammo ekanligini ko‘rsatadi. 1. Mobil ilovalardagi eng keng tarqalgan zaifliklar. Ko‘pgina mobil ilovalar kiberhujumlar uchun eshikni ochadigan zaif ochiq manba komponentlarini o‘z ichiga oladi. Haddan tashqari qurilma ruxsatnomalari va xavfsiz kodlash amaliyotiga rioya qilmaslik, shuningdek, zararli dushmanlarga ilovalarni zararli dasturlar bilan kiritish va maxfiy maʼlumotlarni oʻchirib tashlash imkonini beruvchi koʻr nuqtalarni yaratadi. Server tomonidagi zaif boshqaruvlar, xavfsizlik konfiguratsiyasining noto‘g‘riligi va noto‘g‘ri ro‘yxatga olish ham mobil ilovalarda zaifliklarni keltirib chiqaradi. Ochiq veb-ilovalar xavfsizligi loyihasi (OWASP) mobil ilovalardagi eng keng tarqalgan tahdidlar va zaifliklarni tavsiflovchi 10 ta eng yaxshi mobil xavflar ro‘yxatini e'lon qiladi. Eng so‘nggi ro‘yxatga (2024) ko‘ra, mobil xavfsizlikning eng yaxshi 10 ta xavfi: 2024-yil uchun yangi Mobil Top 10 roʻyxati. M1: Hisob ma’lumotlaridan noto‘g‘ri foydalanish M2: Ta’minot zanjiri xavfsizligining yetarli emasligi M3: Ishonchsiz autentifikatsiya/avtorizatsiya M4: Kirish/chiqishni tekshirish yetarli emas M5: Ishonchsiz aloqa M6: Maxfiylik nazorati yetarli emas M7: Ikkilik himoyalar yetarli emas M8: Xavfsizlikning noto‘g‘ri konfiguratsiyasi M9: Xavfsiz ma’lumotlarni saqlash M10: Kriptografiya yetarli emas M1.Hisob ma’lumotlaridan noto‘g‘ri foydalanish Hisob ma’lumotlarini noto‘g‘ri ishlatish yoki qattiq kodlangan hisobga olish ma’lumotlarini noto‘g‘ri boshqarish tufayli yuzaga keladi. Quyidagilar mobil ilovangiz xavf ostida bo‘lishi mumkinligini ko‘rsatadi: Qattiq kodlangan hisob ma’lumotlari - Ilovaning manba kodi yoki konfiguratsiya fayllarida qattiq kodlangan kirish ma’lumotlari mavjud bo‘lsa, bu zaiflikning aniq belgisidir. Hisob ma’lumotlarining xavfsiz uzatilishi - kirish ma’lumotlarini shifrlashsiz yoki xavfsiz kanallar orqali uzatish zaiflik haqida signal berishi mumkin. Hisob ma’lumotlarini xavfsiz saqlash - foydalanuvchining kirish ma’lumotlarini qurilmada xavfsiz tarzda saqlash xavf tug‘dirishi mumkin. Zaif foydalanuvchi autentifikatsiyasi - zaif autentifikatsiya usullaridan foydalanish yoki autentifikatsiyani chetlab o‘tishning oson usullariga ruxsat berish zaiflikni ko‘rsatishi mumkin. Bunday zaifliklarni yumshatish uchun siz foydalanuvchi hisob ma’lumotlarini saqlash, uzatish va autentifikatsiya qilishni ta’minlashingiz kerak. Foydalanuvchi hisob ma’lumotlarini uzatishda, hisob ma’lumotlari shifrlanganligiga ishonch hosil qiling. Qurilmaning o‘zida hisobga olish ma’lumotlarini saqlashdan saqlaning. Xavfsizroq bo‘lgan bekor qilinadigan kirish tokenlarini tanlang. Kuchli foydalanuvchi autentifikatsiya protokollarini qo‘llang. API kalitlari va tokenlarini muntazam ravishda aylantirish va yangilash orqali ularni yangilab turing. M2. Ta’minot zanjiri xavfsizligining yetarli darajada emasligi Mobil ilova uchinchi tomon ishlab chiquvchilari tomonidan ishlab chiqilgan yoki uchinchi tomon komponentlari va kutubxonalariga tayangan hollarda ta’minot zanjiri xavfsizligiga zaif bo‘lish ehtimoli oshadi. Bunday mobil ilovalarning zaif bo‘lishining sabablari quyidagilardir: Uchinchi tomon komponentlarida xavfsizlik yetarli emas: Kutubxonalar yoki frameworklar kabi uchinchi tomon komponentlaridagi zaifliklardan tajovuzkorlar osonlikcha foydalanadi. Agar mobil ilova ishlab chiqaruvchisi ushbu komponentlarni to‘g‘ri baholamasa yoki ularni yangilab turmasa, ilova hujumlarga qarshi himoyasiz bo‘lib qoladi. Zararli insayderlarning tahdidlari: Qasddan ishlab chiquvchilar mobil ilovalar xavfsizligi zaifliklarini ataylab kiritishlari mumkin. Bu ishlab chiquvchi tegishli xavfsizlik choralarini va ta’minot zanjiri jarayonida monitoringni amalga oshira olmasa sodir bo‘ladi. Tasdiqlash va sinovdan o‘tishning yo‘qligi: Mobil ilova ishlab chiqaruvchisi sinchkovlik bilan sinovdan o‘tkazmasa, ilova hujumlarga moyil bo‘ladi. Ta’minot zanjiri jarayonida xavfsizlikni tasdiqlamaslik ham zaifliklarga olib kelishi mumkin. Xavfsizlik bo‘yicha xabardorlikning yo‘qligi: Xavfsizlik haqida yetarli ma’lumotga ega bo‘lmasa, mobil ilova ishlab chiquvchilari ta’minot zanjiri hujumlarining oldini olish uchun zarur xavfsizlik choralarini qo‘llashni e'tiborsiz qoldirishi mumkin. Quyidagi qadamlar "ta’minot zanjiri zaifliklari" ning oldini olishni ta’minlaydi: 1. Xavfsiz kodlash amaliyotlari, testlar va kodlarni ko‘rib chiqish mobil ilovani ishlab chiqishning butun hayoti davomida amalga oshirilganligiga ishonch hosil qiling. Shunday qilib, siz mos ravishda mobil ilovalar xavfsizligi zaifliklarini aniqlashingiz va kamaytirishingiz mumkin. 2. Buzg‘unchilarning zararli kodni tarqatishini o‘chirish uchun ilovani imzolash va tarqatish xavfsiz ekanligiga ishonch hosil qiling. 3. Faqat ishonchli va tasdiqlangan uchinchi tomon komponentlari yoki kutubxonalariga tayanib, zaiflik xavfini kamaytiring. 4. Buzg‘unchilarning ilovaning zaif tomonlaridan foydalanishini bloklash uchun ilova yangilanishlari, yamoqlari va relizlar uchun xavfsizlik choralarini o‘rnating. 5. Ta’minot zanjiri xavfsizligi bilan bog‘liq muammolarni tezda aniqlash va ularga javob berish uchun xavfsizlik testi, skanerlash yoki shunga o‘xshash usullardan foydalangan holda hushyor bo‘ling. M3. Ishonchsiz autentifikatsiya/avtorizatsiya Bunday zaifliklarga qarshi kurashish uchun autentifikatsiya va avtorizatsiya o‘rtasida aniq texnik farq borligini tushunish juda muhimdir. Soddalashtirish uchun autentifikatsiya shaxsni identifikatsiya qilish uchun javobgardir, avtorizatsiya esa autentifikatsiya qilingan shaxsning muayyan harakatni amalga oshirish uchun etarli ruxsatlarga ega yoki yo‘qligini tekshiradi. Bu avtorizatsiya foydalanuvchi autentifikatsiya so‘rovidan so‘ng darhol amalga oshirilishi kerak degan xulosaga keladi. Mobil ilovalar haqida gap ketganda, quyidagilar zaif autentifikatsiyani ko‘rsatadi: Backend API so‘rovlarini autentifikatsiyasiz bajarish: Agar ilova kirish tokenisiz backend API xizmatiga so‘rovlarni amalga oshira olsa, u autentifikatsiya zaifligini ko‘rsatishi mumkin. Parollarni yoki umumiy sirlarni local saqlash: Parollar yoki umumiy sirlarni bevosita qurilmada saqlash autentifikatsiyaning zaif tomonlarini ko‘rsatishi mumkin. Zaif parol siyosati: To‘g‘ridan-to‘g‘ri parolni kiritish jarayoni xavfli autentifikatsiya amaliyotlarini ko‘rsatishi mumkin. FaceID va TouchID-dan foydalanish: FaceID yoki TouchID kabi xususiyatlardan foydalanish xavfsiz autentifikatsiya usullarini ham anglatishi mumkin. M4. Kirish/chiqishni tekshirishning yetarli emasligi Mobil ilova ichida foydalanuvchi kiritishlari yoki tarmoq maʼlumotlari kabi tashqi manbalardan olingan maʼlumotlarning yetarli darajada tekshirilmaganligi jiddiy xavfsizlik kamchiliklarini keltirib chiqarishi mumkin. Bunday ma’lumotlarni to‘g‘ri tekshirmaydigan va tozalamaydigan mobil ilovalar mobil platformalarga qaratilgan hujumlarga ochiq. Bunday hujumga misol SQL in'ektsiyasi bo‘ladi. Ushbu zaifliklar zararli oqibatlarga olib kelishi mumkin, jumladan, maxfiy ma’lumotlarga ruxsatsiz kirish, ilovalarni manipulyatsiya qilish va mobil tizimning potentsial buzilishi. Chiqarilgan ma’lumotlarning to‘g‘ri tasdiqlanmaganligi buzilgan ma’lumotlarga yoki ma’lumotlarning ko‘rsatilishida zaifliklarga olib kelishi mumkin, bu zararli shaxslarga zararli kodni kiritish yoki foydalanuvchilarga ko‘rsatilgan maxfiy ma’lumotlarni o‘zgartirish imkonini beradi. M5.Ishonchsiz muloqot Mobil aloqa orqali aloqa odatda A nuqtadan B nuqtaga ma’lumotlarni uzatishni o‘z ichiga oladi. Agar aloqa uzilib qolsa va xavfsizlik yetarli bo‘lmasa, xakerlar ma’lumotlarga osongina kirishlari mumkin . Muammolarning jiddiyligi ma’lumotlar tarkibining sezgirligi bilan ortadi. Agar uzatilgan ma’lumotlar maxfiy foydalanuvchi ma’lumotlarini, parollarni, hisob ma’lumotlarini yoki shifrlashni o‘z ichiga olsa - buzilish biznes va ilova foydalanuvchilari uchun jiddiy oqibatlarga olib kelishi mumkin. M6.Maxfiylik nazorati yetarli emas Maxfiylikni nazorat qilishning etarli emasligi Zaiflik PII (Personally Identifiable Information) bilan chambarchas bog‘liq - shaxsni aniqlash mumkin bo‘lgan ma’lumotlar.Odatda, bunday ma’lumotlar sizdirilishi, manipulyatsiyasi yoki bloklanishi mumkin (ma’lumotlarni yo‘q qilish yoki ma’lumotlarga kirishni bloklash). PII ning umumiy misollariga quyidagilar kiradi. Ism Manzil Kredit karta ma’lumotlari Elektron pochta IP manzili Sog‘liqni saqlash ma’lumotlari Din Siyosiy ma’lumotlar Agar tajovuzkor foydalanuvchining PII (Personally Identifiable Information) maʼlumotlarini tushunsa, ular PII maʼlumotlari oshkor etilgan foydalanuvchining oʻzini bemalol taqlid qilishi va firibgarlik harakatlariga yoʻl qoʻyishi mumkin. Agar tajovuzkor jabrlanuvchining kredit kartasi ma’lumotlariga ega bo‘lsa, ular jabrlanuvchiga jiddiy moliyaviy zarar etkazishi mumkin. PII dan foyda olishning yana bir usuli - jabrlanuvchini shantaj qilish va to‘lovni talab qilish. M7. Ikkilik himoyaning yetarli emasligi. Mobil ilovalarning ikkilik fayllarini nishonga olgan tajovuzkorlar bir nechta drayverlarga ega bo‘lishi mumkin. Ikkilik qimmatli ma’lumotga ega bo‘lganligi sababli, tajovuzkorlar turli xil narsalarni qidirishlari mumkin: Commercial API keys Hardcoded cryptographic data that can be exploited Revealing the app's business logic Pre-trained AI models Ma’lumot to‘plashdan tashqari, tajovuzkorlar to‘lovsiz pullik xususiyatlarga kirish yoki boshqa xavfsizlik choralarini chetlab o‘tish uchun ilovalarning ikkilik fayllarini boshqarishi mumkin. Eng yomon stsenariy shundaki, taniqli ilovalar zararli kodni o‘z ichiga olgan holda o‘zgartirilishi va keyin uchinchi tomon ilovalari do‘konlari orqali yoki foydalanuvchilarni aldash uchun boshqa nom ostida tarqatilishi mumkin. Umumiy hujum ilovadagi toʻlov identifikatorlarini oʻzgartirish, uni qayta oʻrash va ilovalar doʻkonlari orqali tarqatishni oʻz ichiga oladi. Foydalanuvchilar bilmagan holda ushbu ruxsatsiz versiyani yuklab olib, to‘lovni amalga oshirganda, tajovuzkor pul oladi. M8. Xavfsizlikning noto‘g‘ri konfiguratsiyasi Mobil ilovalardagi xavfsizlik noto‘g‘ri konfiguratsiyasi ruxsatlar, xavfsizlik sozlamalari va boshqaruv elementlari noto‘g‘ri sozlanganida yuzaga keladi, bu esa ruxsatsiz kirish va zaifliklarga olib keladi . Ushbu noto‘g‘ri konfiguratsiyalardan foydalanadiganlar maxfiy ma’lumotlarga ruxsatsiz kirishni yoki zararli harakatlarni amalga oshirishni maqsad qiladi. Tahdid agentlari qurilmaga jismoniy kirish huquqiga ega bo‘lgan shaxsni yoki zaif dastur kontekstida ruxsatsiz harakatlarni amalga oshirish uchun ushbu noto‘g‘ri konfiguratsiyalardan foydalanadigan zararli dasturni o‘z ichiga olishi mumkin. M9.Xavfsiz ma’lumotlarni saqlash Mobil ilovalarda xavfsiz ma’lumotlarni saqlash maxfiy ma’lumotlarni oshkor qilish xavfini tug‘diradi. OWASP 10 ta eng yaxshi mobil zaifliklar ushbu xavflarni ta’kidlaydi va shaxsiy ma’lumotlarni himoya qilish muhimligini ta’kidlaydi. Ushbu xavfni kamaytirish shifrlash mexanizmlarini va xavfsiz ma’lumotlarni saqlash amaliyotlarini amalga oshirishni o‘z ichiga oladi. Ishlab chiquvchilar ma’lumotlarni saqlash uchun zarur bo‘lgan xavfsizlik nazoratini amalga oshirish uchun OWASP mobil ilovasining xavfsizlik zaifliklarini tekshirish ro‘yxatiga murojaat qilishlari mumkin. M10.Kriptografiyaning yetarli emasligi Mobil ilovalardagi maxfiy ma’lumotlarni himoya qilish uchun shifrlash mexanizmlarini amalga oshirish juda muhimdir. OWASP 10 ta eng yaxshi mobil zaifliklar kriptografiyaning yetishmasligi bilan bog‘liq xavflarni ko‘rib chiqadi. OWASP mobil zaifliklarni tekshirish ro‘yxatiga rioya qilish orqali ishlab chiquvchilar xavfsiz shifrlash algoritmlaridan foydalanishni ta’minlashi va shu bilan ma’lumotlarni saqlash va aloqani himoya qilishlari mumkin. Kriptografiya choralarini to‘g‘ri amalga oshirish mobil ilovalar xavfsizligining muhim jihati hisoblanadi. 1.1 Platformani noto‘g‘ri ishlatish Mobil platformalardan noto‘g‘ri foydalanish va mavjud xavfsizlik nazorati mobil ilovalar xavfsizligiga tahdid solmoqda. Zaiflikdan foydalanishning ta’siri juda og‘ir bo‘lishi mumkin. Masalan, bu tahdid qiluvchiga mobil qurilma orqali XSS zaifligidan foydalanishga ruxsat berishi mumkin. Ta’sirni kamaytirish strategiyalari Platformani noto‘g‘ri ishlatishni oldini olishning eng yaxshi usuli bu server tomonida xavfsiz kodlashdan foydalanishdir. Xavfsiz kodlash dushmanlarning mobil interfeys orqali zaif so‘nggi nuqtaga zararli ma’lumotlar yoki kutilmagan hodisalar ketma-ketligini etkazib berishning oldini oladi. 1.2 Xavfsiz ma’lumotlarni saqlash. Ko‘pincha ishlab chiquvchilar ma’lumotlarni shifrlamagan yoki xavfsiz saqlamaganligi sababli yuzaga keladigan xavfsiz ma’lumotlarni saqlash ma’lumotlarning sizib chiqishi yoki buzilishiga olib kelishi mumkin, shuningdek: Foydalanuvchi maxfiyligini buzish Firibgarlik Obro‘ga zarar etkazish Moddiy yo‘qotish Shaxsni o‘g‘irlash Ba’zi dushmanlar, shuningdek, ma’lumot aktivlarini o‘g‘irlash uchun zararli dasturlarni yaratadilar yoki qonuniy ilovalarni o‘zgartiradilar. Ta’sirni kamaytirish strategiyalari Ilovani, operatsion tizimni, platformalarni va ramkalarni tahdid modellashtirish ishlab chiquvchilarga qaysi axborot aktivlarini qayta ishlayotganini tushunish orqali ilova maʼlumotlarini saqlash xavfsizligini taʼminlash imkonini beradi. Shuningdek, maʼlumotlarni shifrlash, ilovaning saqlangan maʼlumotlarga kirishini cheklash va maʼlumotlarni saqlashdagi zaifliklarning oldini olish uchun xavfsiz kodlash amaliyotini joriy etish ham muhim ahamiyatga ega. 1.3 Ishonchsiz aloqa. Ishonchsiz aloqalar umumiy Internet yoki operator tarmoqlari orqali maxfiy ilova maʼlumotlarini hujumlarga duchor qilganda sodir boʻladi. Ushbu kamchilikdan foydalanish foydalanuvchi ma’lumotlarini zararli foydalanuvchilarga yetkazishi mumkin, natijada hisob o‘g‘irlanishi, shaxsiy ma’lumotlarning o‘g‘irlanishi, firibgarlik yoki obro‘ga putur yetkazilishi mumkin. Ta’sirni kamaytirish strategiyalari Ushbu xavfni ilovaning transport kanallariga SSL/TLS qo‘llash orqali kamaytirish mumkin. SSL zanjiri tekshiruvini talab qilish, tegishli kalit uzunliklariga ega kuchli shifrlar toʻplamidan foydalanish va ishonchli CA provayderi tomonidan imzolangan sertifikatlardan foydalanish ham mobil ilovalardagi xavfli aloqalarni oldini oladi. 1.4 Zaif autentifikatsiya Ishonchsiz autentifikatsiya raqiblarga shaxsiy ma’lumotlarga va nozik ilova funksiyalariga kirish imkonini beradi. Noto‘g‘ri autentifikatsiya ma’lumotlarning o‘g‘irlanishiga olib kelishi mumkin. Shuningdek, ilova foydalanuvchi faoliyatini qayd qila olmaydi yoki tekshira olmaydi, bu esa tashkilotlarga hujumlar manbasini aniqlashga va kelajakda ularni oldini olishga xalaqit berishi mumkin. Ta’sirni kamaytirish strategiyalari Ishlab chiquvchilar server tomonida avtorizatsiya va autentifikatsiya nazoratini kuchaytirish va ruxsat etilmagan o‘zgarishlarni aniqlash uchun kod ichida mahalliy yaxlitlik tekshiruvlarini o‘tkazish orqali xavfsiz autentifikatsiyani ta’minlashi mumkin. Shuningdek, mijoz ma’lumotlari foydalanuvchilarning kirish ma’lumotlaridan ishonchli tarzda olingan shifrlash kalitlari yordamida shifrlanishi kerak. 1.5 Kriptografiya yetarli emas Zaif shifrlash algoritmlari yoki shifrlash jarayonidagi kamchiliklar raqiblarga shaxsiy kalitlar, parollar yoki dastur kodi kabi maxfiy maʼlumotlarga qurilmadan kirish yoki olish imkonini berishi mumkin. Buzilgan kriptografiya ko‘plab salbiy oqibatlarga olib kelishi mumkin bo‘lgan jiddiy mobil zaiflikdir, jumladan: Ma’lumot, kod yoki intellektual mulkni o‘g‘irlash Maxfiylik buzilishi Obro‘ga zarar yetkazish Ta’sirni kamaytirish strategiyalari Nozik ma’lumotlar bilan ishlashda kuchli kriptografik algoritmlarni qo‘llash bu zaiflikni yumshatishi mumkin. OWASP shuningdek, mobil ilovalar va maxfiy maʼlumotlar uchun tavsiya etilgan algoritmlar boʻyicha NIST koʻrsatmalariga amal qilishni tavsiya qiladi. 1.6 Zaif avtorizatsiya Ishonchsiz avtorizatsiya raqiblarga ilovaning ruxsat boshqaruvlarini chetlab o‘tish va yuqori darajadagi foydalanuvchilar uchun ajratilgan nozik xususiyatlarga kirish imkonini beradi. Shuningdek, bu ularga hujumlarini kengaytirish va hatto tizimni yo‘q qilish imkonini beradi. Ta’sirni kamaytirish strategiyalari Ishonchsiz avtorizatsiya bilan bog‘liq xavflarni yumshatishning usullaridan biri bu qurilmadan olingan ma’lumotlarga tayanish o‘rniga, autentifikatsiya qilingan foydalanuvchilarning rollari va ruxsatlarini backend tizimlaridagi ma’lumotlardan foydalangan holda tekshirishdir. Bundan tashqari, backend kodi so‘rov bilan bog‘liq kiruvchi identifikatorlar kiruvchi identifikatorga tegishli ekanligini mustaqil ravishda tekshirishi kerak. 1.7 Mijoz kodi sifati Kambag‘al kod tajovuzkorlarga yuqori xavfli hujumlarga olib kelishi mumkin bo‘lgan zararli kodni bajarishga imkon berishi mumkin. Ular kod sifati muammolaridan fishing firibgarliklari yoki zararli dasturlar orqali yoki statik tahlillar yoki noaniq vositalardan foydalanishi mumkin. Axborot o‘g‘irlanishi, ishlashning pasayishi va xizmat ko‘rsatishni rad etish (DoS) hujumlari sifatsiz kodning mumkin bo‘lgan oqibatlaridir. Ta’sirni kamaytirish strategiyalari Xavfsiz va standartlashtirilgan kodlash amaliyotlari sifatsiz kod tomonidan yaratilgan xavfsizlik xatarlarining oldini oladi. Avtomatlashtirilgan statik tahlil vositalari ishlab chiquvchilarga buferning to‘lib ketishi va xotira oqishlari kabi yomon kodlash amaliyotlarini aniqlash va tuzatishga yordam beradi. 1.8 Kodni buzish Buzg‘unchilar mavjud kodga zararli kontent qo‘shishi mumkin. Foydalanuvchi soxta ilovani yuklab olgandan so‘ng, raqiblar firibgarlik yoki foydalanuvchi identifikatorini o‘g‘irlash uchun ilovadan maqsadli foydalanishni buzishi mumkin. Kodni buzish tashkilotning obro‘siga putur etkazishi va qaroqchilik tufayli daromad yo‘qotishiga olib kelishi mumkin. Ta’sirni kamaytirish strategiyalari Sinov kalitlari, OTA sertifikatlari, ildiz otgan APK va SU ikkilik fayllarini tekshirish orqali kodni buzishning oldini olish mumkin. Bundan tashqari, dastur ish vaqtida kod o‘zgarishlarini aniqlay olishi va ularga mos ravishda javob berishi kerak. Kod integratsiyasi haqida ogohlantirishlar va kodni qattiqlashtirish va raqamli imzolar kabi chora-tadbirlar ham buzishni oldini oladi. 1.9 Teskari Muhandislik Buzg‘unchilar mobil ilovalarning ishlashini tushunish, kodni zararli funksiyalar bilan o‘zgartirish, kriptografik konstantalar va shifrlarni ochish, orqa tizimlarga hujum qilish va nozik ma’lumotlarni o‘g‘irlash uchun teskari muhandislik qiladi. Ta’sirni kamaytirish strategiyalari Teskari muhandislikning oldini olishning eng yaxshi usuli bu kodni chalkashtirib yuborishdir, bu esa tajovuzkorlarga ilovaning ichki ishini tushunishni qiyinlashtiradi. Penetratsiya testi ilovaning teskari muhandislikka moyilligini tushunishning samarali usuli hisoblanadi. Turli vositalar va o‘zlarining tajriba va ko‘nikmalaridan foydalangan holda, penetration testchilari tajovuzkor ilovani teskari muhandislik qilishning turli usullarini tushunishga harakat qilishadi: Ikkilik satrli jadval mazmunini tahlil qilish O‘zaro funktsional tahlilni amalga oshirish Ikkilikdan manba kodini qayta yaratish 1.10 Chetdan tashqari funksionallik Chetdan tashqari funksionallik haqiqiy foydalanuvchilar uchun yashirin, lekin tajovuzkorlar uchun hujum yo‘llarini yaratadi. Borgan sari ularning aksariyati ilovalarga hujum qilish uchun jurnal fayllari, konfiguratsiya fayllari va ikkilik fayllar kabi funksiyalarni tekshiradi va ishlatadi. Ta’sirni kamaytirish strategiyalari Xavfsiz kodlash amaliyoti begona funksiyalar tomonidan yaratilgan xavfsizlik xatarlarini kamaytirishi mumkin. Amaliyotlardan biri, ishlab chiqarish tuzilmalariga backend test, demo, sahnalashtirish yoki UAT muhitlari bilan bog‘liq ma’lumotlarni kiritishdan qochishdir. Avtomatlashtirilgan statik va dinamik tahlil vositalari ba’zi turdagi begona funktsiyalarni aniqlay oladi. Qo‘lda kodni ko‘rib chiqish va kirish testlari avtomatlashtirilgan vositalar o‘tkazib yuborishi mumkin bo‘lgan orqa eshiklarni aniqlashi mumkin, masalan: Konfiguratsiya sozlamalarida yashirin kalitlar Yakuniy ishlab chiqarishda sinov kodi Jurnallar bayonotlarida imtiyozli hisoblarni fosh qilishi mumkin bo‘lgan backend haqida haddan tashqari tavsiflovchi ma’lumotlar mavjudmi? 2. Mobil ilovalar xavfsizligini oshirishning ahamiyati. Mobil ilovalarning kengayishi kiberhujumchilar uchun ko‘plab yo‘llarni ochadi, bu nima uchun ko‘pchilik ilovalarga xos zararli dasturlarni faol ravishda tarqatayotganini va nima uchun smishing, MITM hujumlari va proshivka hujumlari ko‘payib borayotganini tushuntiradi. Tashkilotlar ushbu yo‘llarning ko‘pini iloji boricha yopishlari kerak. Buni qilishning eng yaxshi yo‘li - yomon odamlar ulardan foydalanishdan oldin zaifliklarni topishdir. Bu erda penetratsion test kiradi. Penetration testni sinovdan o‘tkazuvchi mobil ilovalar ichki sinov va avtomatlashtirilgan skanerlash vositalari ko‘pincha o‘tkazib yuboradigan xavfsizlik kamchiliklarini aniqlashi mumkin.Natijalar tashkilotlarga aniqlangan zaifliklarni rivojlanishning dastlabki bosqichlarida tuzatishga imkon beradi. Penetration sinovlari xavfsizlik ekotizimlarining zaif tomonlarini ham ta'kidlashi mumkin, shuning uchun tashkilotlar yomon odamlarga qarshi urushda ushbu kuchli quroldan foydalanishlari kerak. 2.1 Mobil ilovalarning penetration testi nima? Mobil ilovalarning kirish testi iOS va Android qurilmalarida foydalanish uchun moʻljallangan mobil ilovaning kiberxavfsizlik boshqaruvidagi zaifliklarni aniqlaydi. Ushbu turdagi penetration testi dastur xavfsizligining turli darajalariga ta'sir ko‘rsatishi mumkin bo‘lgan har xil turdagi tahdidlarni takrorlashni o‘z ichiga oladi. Mobil ilovalar uchun penetration test quyidagilarni o‘z ichiga oladi: Client-side attacks - mobil ilovani zaif qoldiradigan eskirgan kutubxonalar kabi zaifliklardan foydalanish. Server-side attacks - xatolar va konfiguratsiya muammolarini tekshirish. Update attacks - ilovada yangilanish jarayonida foydalanish mumkin bo‘lgan zaifliklar yo‘qligini tekshiradi. Real-world attacks - ilova xavfsizligiga tahdid solishi mumkin bo‘lgan real vaziyatlarni takrorlash. Hybrid attacks - dastur turli manbalardan kirishlarni qanday ishlashini sinab ko‘ring. Functional testing - ishlab chiquvchilar tomonidan tuzatilishi kerak bo‘lgan xavfsizlik kamchiliklari uchun har bir funksionallik yoki operatsiyani tekshirish. Data-traffic monitoring - SSL/TLS sertifikatlarini tahlil qiladi va tarmoq aloqalarini o‘zaro domen siyosati, sertifikatlarni mahkamlash va ma'lumotlarning sizib chiqishi kabi zaifliklar uchun sinovdan o‘tkazishga yordam beradi. Xulosa: Mobil ilovaning penetration testi ilova infratuzilmasi va xavfsizlik choralari doirasidagi barcha zaifliklarni topish maqsadida mobil ilovaga (iOS va/yoki Android) qaratilgan hujumni simulyatsiya qiladi. Ushbu zaifliklar ikkilik kompilyatsiya muammolari va nozik ma'lumotlarni noto’g’ri saqlashdan tortib, foydalanuvchi nomini sanab o’tish yoki kiritish kabi odatiy dasturga asoslangan muammolargacha bo'lishi mumkin.Mobil ilova ommaga chiqarilishidan oldin u xavfsizlik sinovidan o‘tkazilishi kerak. Bu zaiflikni baholash va kirish testi orqali amalga oshiriladi. Jarayon ma’lumot to’plash, tahdidlarni modellashtirish, zaifliklardan foydalanish, hodisaga javob berish va tuzatishni o'z ichiga oladi. Penetration sinovdan o'tkazish IT muhitidagi muammolarni topish va qayd etish bo’yicha treningga ega xavfsizlik bo'yicha mutaxassis tomonidan amalga oshirilishi kerak. Quyidagi sertifikatlarga ega amaliyotchini qidiring: Certified Ethical Hacker (CEH), GAC Exploit Researcher va Advanced Penetration Tester (GXPN), GIAC Penetration Tester ( GPEN ) sertifikati, Licensed Penetration Tester Master (LPT) sertifikati, CompTIA Pentest+ va/or OWASP sertifikati. Foydalanilgan Adabiyotlar: 1. https://awainfosec.com/penetration-testing/mobile-application-pen-testing/ 2. https://securelist.com/it-threat-evolution-in-q2-2022-mobile-statistics/107123/ 3. https://awainfosec.com/blog/differences-vulnerability-scans-penetration-tests/ 4. https://owasp.org/www-project-mobile-top-10/ 5. https://www.simplilearn.com/tutorials/cyber-security-tutorial/cyber-securitybooks 6. https://www.tutorialsfreak.com/ethical-hacking-tutorial/ethical-hacking-books