كيف تحمي تطبيقات الهاتف و الـ APIs من الهجمات السيبرانية

Cyber Attacks
هناك عنصران أساسيان يقودان التقدم في الاقتصاد الرقمي الأول اليوم: تطبيقات الهاتف المحمول و واجهات برمجة التطبيقات (APIs) التي تسمح لتلك التطبيقات بالاتصال وتبادل البيانات مع بعضها البعض.
Abdelrahman Nasr
Oct. 1, 2021, 5 p.m.
Abdelrahman
كيف تحمي تطبيقات الهاتف و الـ APIs من الهجمات السيبرانية

هناك عنصران أساسيان يقودان التقدم في الاقتصاد الرقمي الأول اليوم:
تطبيقات الهاتف المحمول و واجهات برمجة التطبيقات (APIs) التي تسمح لتلك التطبيقات بالاتصال وتبادل البيانات مع بعضها البعض.

أدى النمو في هاتين التقنيتين إلى تعريض المستخدمين وبياناتهم لتهديدات أمنية كبيرة ، وهي:

  • يمكن للقراصنة الوصول إلى الأجهزة بسهولة من خلال تطبيقات الأجهزة المحمولة.
  • تعرض APIs غير المؤمنة معلومات التعريف الشخصية (PII) للمهاجمين المحتملين.

ظهرت تهديدات أمان تطبيقات الأجهزة المحمولة على مر السنين. فيما يلي بعض الإحصاءات المثيرة للقلق:

  • في عام 2019 ، تبين أن 93 في المائة من معاملات الهاتف المحمول هي عمليات احتيالية.
  • وفقًا لمايكروسوفت أن 60 بالمائة من الـ End Points الخاصة بالمؤسسة غير محمية.
  • أدى الوباء إلى زيادة عدد الأشخاص التي تعمل عن بعد (Working Remotly)  وتستخدم أجهزتها المحمولة في العمل.
  • أثبتت الأبحاث التي أجرتها شركة IBM أن العمل عن بعد يزيد من متوسط تكاليف تسريب و اختراق البيانات بمقدار 137 ألف دولار.
  • 19 مليون دولار هو متوسط تكلفة اختراق و تسريب البيانات.

كيفية استغلال الهجوم علي الهواتف ؟

تعمل تطبيقات الهاتف المحمول على افتراض أن المستخدمين الشرعيين يستخدمون التطبيق دون أي نوايا ضارة.
و نتيجة لذلك ، سيستغل المخترقون حسن النية لاستخراج المعلومات السرية التي يمكنهم استخدامها للوصول الي جهازك.
و من هنا حيث يحاولون الوصول الي ثغرة و استهدافها من خلال فحص التالي:

  • User Credentials
  • App Integrity
  • Device Integrity
  • API Channel Integrity
  • API and Service Vulnerabilities

طرق استغلال الهجوم ؟

أبسط الطرق يمكن للـ Attacker استتخدامها للوصول الي الجهاز:

الوصول لبيانات المستخدم من خلال الهندسة الاجتماعية من خلال الـ phishing والـ spoofing أو يمكن الوصول لها اعتماداً علي تسريب البيانات التي يتم نشرها أو بيعها.

  • استغلال الـ API للوصول الي معلومات عن بنية التطبيق.
  • ايجاد ثغرة في نظام تشغيل الهاتف نفسه تمكن الـ Attacker من الوصول للهدف.
  • اعتراض البيانات عند ارسالها من التطبيق الي الـ Server اذا كان الاتصال من نفس الشبكة.

و الان كيف يتم حماية تطبيقات الهاتف المحمول و الـ API من الـ Attackers سنعرض لكم أفضل الاستراتيجيات المتبعة لحماية أفضل.

1- استخدام التواصل الآمن فقط

الاعتماد علي الاتصالات الآمنة فقط بعد مصادقة الـ Server Request و ذلك عن طريق تفعيل بروتوكولات Secure Sockets Layer / Transport Layer Security (SSL / TLS) علي كل الـ URLs التي تقوم بفحص اي بيانات حساسة مثل الفيزا و كلمات المرور ، بالاضافة انه يجب الحصول علي Trusted Certificate حيث يقوم بتقديمها مزود الـ Domain او يمكنك الحصول عليها من Cloudflare.

2- التحقق من صحة البيانات المدخلة

ليس كل من يستخدم تطبيق يملك نوايا جيدة أليس كذلك ؟
نعم بالتأكيد ، يجب التحقق من صحة أي يبانات يكتبها المستخدم قبل أن يقوم التطبيق بمعالجتها منعاً لحقن أي شفرة ضارة.

3- تأمين قاعدة البيانات

حيث يعد الوصول لقاعدة البيانات أكبر تهديد يمكن للـ Attackers استهدافها عن طريق حقن الـ SQL ، مرة أخري يجب التحقق من صحة أي بيانات مدخلة من طرف المستخدم بالاضافة الي حفظ البيانات الحساسة مشفرة مع اضافة salt ليصعب فك تشفيرها في حالة الوصول لها.

4. تأمين الـ Source Code

قم بتطبيق ارشادات الأمان مثل إرشادات OWASP واستخدم أداة مثل MobSF للتحقق من أمان عملك أثناء عملية التطوير.
حافظ على مبادئ تشفير متسقة وآمنة حيث لا تؤدي نهاية عملية التطوير إلى كود ضعيف.

5- تطبيق Authentication and Authorization

هناك عدة طرق لضمان Authentication and Authorization المناسبين لحماية تطبيقات الأجهزة المحمولة من الهجمات:

  • قم دائمًا بمصادقة الطلبات من نهاية الخادم. حيث تمنع المصادقة تحميل البيانات المشوهة والضارة علي تطبيق الهاتف المحمول.
  • استخدم التشفير لجعل بيانات العميل آمنة ، خاصةً إذا كان التطبيق يتطلب الوصول إلى مساحة تخزين العميل.
  • تحقق دائمًا من أذونات المستخدمين المصادق عليهم باستخدام البياناتالمتواجدة في قاعدة البيانات فقط ، حيث يمنع التحقق الـ Attackers من استخدام بيانات متشابهة المظهر للوصول إلي معلومات متواجدة في قاعدة البيانات.
  • استخدم المصادقة الثنائية 2FA للتحقق من صحة بيانات المستخدم وهويته.

6- لا تعطي فرصة لاستخدام الهندسة العكسية

تعد أيضا من أهم الطرق لاستغلال التطبيق و التلاعب بوظائف التطبيق و لمحاولة منع الهندسة العكسية هو استخدام Functions متواجدة علي الـ Server و ليست علي طرف الـ Client.

7- حماية الـ API من التهديدات

استخدام API Threat Protection Technology لمحاولة منع الـ Automated Attacks علي الرغم من نقاط ضعف الـ APIs الكثيرة و التي يمكن استغلالها يدويا الي ان استخدام احد تلك الأدوات يساعد علي منع الاستغلال الآلي حيث يعتمد الهجوم علي ارسال كم كبير من الـ Requests إلي الـ Server. 

والى هنا عزيزى القارئ قد وصلنا الى نهايه المقال ونتمنى من الله أن يكون المقال سهل و بسيط و فيه ما يفيد لكم.


api apis app phone attack cyber تطبيقات هاتف هجمات سيبرانية