شرح یک شروع

چرا چکاپ امنیتی برنامه‌های اندرویدی و چطور؟

در این یادداشت کوتاه، به جزئیات چگونگی شروع به‌کار بخش چکاپ امنیتی برنامه‌های اندرویدی در وب‌سایت سرتفا پرداخته‌ایم. بخشی که از طریق آن، در حال حاضر نتایج بررسی امنیتی برخی از برنامه‌های اندرویدی منتشر شده در فروشگاه برنامه‌های کافه‌بازار، به‌همراه جزئیات آسیب‌پذیری‌ها و ریسک‌های امنیتی، در دسترس عموم قرار گرفته است.
۰۳ فروردین ۱۳۹۹

ایده اولیه راه‌اندازی بخش چکاپ امنیتی برنامه‌های اندرویدی، به حدود دو سال پیش بازمی‌گردد. زمانی که در آزمایشگاه سرتفا طی تحقیقات روی برخی از برنامه‌های اندرویدی، با موارد کلاهبرداری ارزش افزوده از طریق سوءاستفاده از قابلیت پوش‌نوتیفیکیشن (خانواده بدافزاری PushIran.DL) مواجه شدیم.
 
اینکه چطور فهرستی از این برنامه‌ها به‌صورت جامع برای تحقیقات خودمان داشته باشیم و به‌صورت کلی چطور برنامه‌های ایرانی برای سیستم عامل اندورید را پالایش و بررسی کنیم، یکی از ایده‌های اولیه برای شروع این کار بود. از طرف دیگر، لزوم دسترسی عمومی کاربران به محتوایی مرتبط با مسائل امنیتی برنامه‌های اندرویدی و ارائه داده‌های تخصصی به زبان ساده، نیاز دیگری بود که در چند سال گذشته عدم وجود آن به شدت احساس می‌شد.
 
با در نظر گرفتن این نیازها، تحقیقات گوناگونی را به‌منظور امکان‌سنجی شرایط راه‌اندازی یک بخش جدید در وب‌سرتفا انجام دادیم. مشخصا، فراهم‌سازی و ایجاد بستری عمومی که می‌بایست دقت کافی برای بررسی موارد مختلف امنیتی را دارا باشد، مستلزم نیروی فنی، زمان و هزینه‌های زیاد راه‌اندازی بود که امکان این موضوع به‌صورت کامل در شرایط فعلی برای ما میسر نبوده و نیست؛ علاوه بر تمام این موارد، ما به دنبال ساخت مجدد چرخ نبودیم و هدف و مسیر ما از ابتدا روشن بود.

بنابراین با جمع‌بندی این نکات و با بررسی چند رویکرد عملی، به این نتیجه رسیدیم که از سرویس‌ها و ابزارهای معتبر و مطمئن به‌صورت تلفیقی برای ایجاد بخش «چکاپ امنیتی برنامه‌های اندرویدی» استفاده کنیم. سرویس‌هایی مانند VirusTotal, High-Tech Bridge و Koodous به‌همراه فریم‌ورک MobSF، دقیقا بخش اعظم پیش‌نیازهای ما را برای آغاز این کار تامین کردند که پس از چندین مورد آزمایش، ایجاد یک واسط پردازشی برای ارسال، دریافت و ذخیره‌سازی اطلاعات، سهم کلی ما در راه‌اندازی اولیه این بخش شد.

این تصمیم به‌صورت کلی، باعث کاهش خطاهای متداول در نتایج، بالاتر رفتن دقت بررسی‌ها و کاهش قابل توجه هزینه‌های راه‌اندازی شد. در نهایت برای شروع به‌کار اولیه، ما از فهرست برنامه‌های ایرانی منتشر شده در فروشگاه برنامه‌های کافه‌بازار استفاده کردیم که مجموعه‌ای قابل توجه، برای یافتن برنامه‌های آسیب‌پذیر و همینطور برنامه‌های موبایلی ایرانی با ماهیت‌های مخرب (بدافزاری) محسوب می‌شود.

در حال حاضر نیز در گزارش اختصاصی هر کدام از برنامه‌ها، موارد زیر به‌عنوان نتایج بررسی در دسترس عموم قرار گرفته‌اند که در آینده،  پس از ساده‌سازی دیگر محتوای فنی، جزئیات بیشتر به آن‌ها اضافه خواهد شد.

  • لیست دسترسی‌های مورد استفاده در برنامه و ریسک‌های امنیتی مرتبط
  • کلیت ضعف‌های امنیتی در سرورهای ارتباطی و رابط برنامه‌نویسی کاربردی مورد استفاده
  • وضعیت استفاده از کتابخانه‌های شخص ثالث ناشناخته و ریسک‌های امنیتی مرتبط
  • کلیت آسیب‌پذیری‌های متداول موجود در کدهای برنامه براساس استانداردهای OWSAP و CWE
  • نتیجه تشخیص آلودگی‌های بدافزاری و سلامت برنامه

در پایان باید بگوییم که فارغ از هرگونه ادعا و بزرگ‌نمایی، خوشحالیم که به‌عنوان یک تیم کوچک و مستقل، نتایح تلاش‌هایمان را می‌توانیم با شما به اشتراک بگذاریم.

مسیری که آغاز کردیم، پیچیدگی آنچنانی نداشت و با اندکی تلاش و زمان، به نقطه فعلی که هم‌اکنون در دسترس عموم قرار دارد، رسیده است. در آینده نیز تلاش خواهیم کرد که در حد توان، قابلیت‌های بیشتری را به آن اضافه کنیم. در همین‌رابطه، اگر پیشنهاد یا ایده‌ای دارید، از شنیدن آن‌ها استقبال می‌کنیم.