اندروید و امنیت اطلاعات سازمانی

مقدمه

امروزه شرکت ها و سازمان ها به دلیل استفاده از دستگاه های موبایل شخصی مانند گوشی های هوشمند و تبلت ها توسط کارکنانشان با چالشی به نام BYOD (bring-your-own device) روبرو شده اند و سازمان ها و شرکت ها مجبورند که در مقابل این پدیده از اطلاعات حساس و سازمانی خود محافظت نمایند.

کارکنان به دلایل مختلفی از دستگاه های موبایل برای اتصال به شبکه داخلی سازمانی و اینترنت استفاده می کنند و با برنامه های کاربردی ارتباط برقرار می کنند. به منظور رسیدن به سطح قابل قبولی از امنیت در هنگام استفاده از دستگاه های موبایل، شرکت ها باید استراتژی مناسبی را با تمرکز بر دستگاه ها، سیستم عامل ها، شبکه ها، برنامه های کاربردی، داده ها و سیاست امنیتی انتخاب کنند و بدین منظور نقش سیستم عامل دستگاه های موبایل بسیار حیاتی است.

هر یک از سیستم عامل های موبایل از جمله IOS، Android و Windows دارای ویژگی ها و ملاحظات امنیتی خاص خودش است. این در حالی است که مزایا و ویژگی های سیستم عامل ها برای مصرف کنندگان آن و حتی سازمان ها بسیار مهم است چرا که وجود یک چالش امنیتی در آن می تواند باعث بوجود آمدن حفره بزرگی امنیتی و نشت اطلاعات سازمانی گردد. در این مقاله سعی می شود تا کنترل های امنیتی به کار رفته در سیستم عامل اندروید معرفی گردد تا سازمان ها بتوانند ریسک ها و نیازمندی های امنیتی خود را به طور دقیق بشناسند و دستگاه های و کنترل های امنیتی متناظر با ریسک ها را برای کاهش خطرات احتمالی انتخاب نمایند.

تفاوت امنیتی دستگاه موبایل با رایانه

امنیت روی پلتفرم موبایل مشابه امنیت رایانه ها است اما به دلیل پایین تر بودن مشخصات فنی و سخت افزاری و محدودیت در دسترسی به منابع روی دستگاه های موبایل در برخی موارد نمی توان از تکنولوژی های خاص امنیتی در آن استفاده کرد از طرفی به دلیل بسته بودن و محدود بودن در نصب نرم افزارها و سخت افزارها، سیستم های موبایل با تهدیدات امنیتی متفاوتی روبرو هستند.

معماری امنیتی اندروید بسیار شبیه یک رایانه مبتنی بر Linux است. اندروید به دلیل اینکه مبتنی بر هسته لینوکس است دارای همه مزایای لینوکس و برخی معایب توزیع های لینوکس است و این در حالی است که ملاحظات امنیتی خاص یک سیستم عامل موبایل را نیز دارا است. معماری اندروید به گونه ای است که می تواند برای وضعیت های امنیتی قوی نیز پیکربندی شود.

مروری بر معماری امنیتی اندروید

معماری اندروید به گونه ای است که پلتفرمی را بوجود آورده که می توان امنیتی را از سطح ساده تا پیشرفته سفارشی سازی نمود. برخی شاخص ها و ویژگی های امنیتی به توسعه دهندگان برنامه ها کمک می کند تا برنامه ای با امنیت بالا را تهیه نمایند، که می توان به موارد زیر اشاره نمود:

  • Sandbox(جعبه ایمنی) برنامه های کاربردی: این ویژگی برای برنامه ها این امکان را بوجود می آورد تا داده ها و کدهای هر برنامه، ایزوله و مستقل از برنامه دیگر اجرا شوند. این امکان با اعمال SELinux و boot integrityتوسعه یافته است.
  • چارچوب برنامه های اندروید: امکان پیاده سازی قوی با قابلیت های امنیتی متدوال از قبیل رمزنگاری، مجوز دسترسی(permission) و IPC امن، در اندروید وجود دارد.
  • سسیستم فایل رمزنگاری: می تواند به منظور مقابله با سرقت دستگاه یا اطلاعات به کار رود.
  • تکنولوژی اعتبارسنجی ورودی ها: تکنولوژی هایی شبیه ASLR، NX، ProPolice، safe_iop، OpenBSD dlmalloc، OpenBSD calloc و linux mmap_min_addr برای کاهش ریسک های متناظر با خطاهای متداول مدیریت حافظه در اندروید تعبیه شده است.
  • مجوز های دسترسی اعطا شده به کاربر برای محدود کردن دسترسی به ویژگی های سیستم و داده کاربر در نظر گرفته شده است.
  • مجوز دسترسی تعریف شده برای برنامه به منظور کنترل داده های برنامه، به ازاء هر برنامه وجود دارد.

شکل زیر ملاحظات و مولفه های امنیتی را در سطوح مختلف استک نرم افزاری اندروید نمایش می دهد.

معماری امنیتی اندروید

نحوه امن سازی کاربری در اندروید

معماری امنیتی اندروید به گونه ای است که کاربر می تواند بدون نصب نرم افزار خاص یا اعمال هرگونه تغییرات روی تبلت یا گوشی هوشمند خود، ازآن به صورت امن بهره برداری نماید. هر برنامه اندروید در جعبه ایمنی خودش اجرا می شود که با این قابلیت دسترسی به اطلاعات حساس یا داده ها بدون مجوز کاربر محدود می شود.

به منظور استفاده حداکثری از موارد امنیتی در اندروید، مساله مهم این است که کاربران فقط از منابع معتبر و شناخته شده و سایت های قابل اعتماد نرم افزارهای مورد نیاز خود را دانلود و نصب نمایند و در استفاده از منابع نامتعبر برای تامین نیازهای خود روی دستگاه های موبایل پرهیز نماید.

از آنجایی که معماری اندروید به گونه ای است که به کاربران خود این امکان را می دهد تا از منابع مختلف نرم افزارهای خود را تامین نمایند لذا همانند یک کاربر رایانه، باید از تولید کننده آن اطلاع و اطمینان کافی داشته باشند چرا که توسعه دهندگان نرم افزارها می توانند مجوزهای فراوانی را در هنگام نصب نرم افزار از کاربر کسب نمایند. مساله مهم این است که در هنگام نصب برنامه کاربران به توسعه دهندگان آن اعتماد می کنند لذا باید نرم افزاری نصب گردد که فاقد بدافزار باشد.

بدین منظور گوگل مجموعه ای از خدمات را که به کاربر اجازه می دهد تا برنامه های کاربردی را شناسایی، نصب یا خرید نمایند، تحت Google Play ارائه می دهد.

استفاده از قابلیت Bouncer برای اسکن برنامه هایی که تمایل به نصب آنها از روی منابع ناشناخته است، می تواند برای کشف بدافزارها موثر باشد.

ملاحظات و ویژگی های امنیتی اندروید

از آنجایی که اندروید از محتوای فعال مانند Flash، Java، JavaScript و HTML5 پشتیبانی می کند لذا می تواند به بدافزارها اجازه دهد تا از طریق این حامل ها به آن حمله کنند.

سیستم عامل اندروید بسیار مورد توجه بدافزارهای موبایل است از جمله می توان به تروجان های SMS اشاره کرد که با ارسال متن با شماره های بین المللی و  نصب برنامه های جعلی و فریب می تواند بدون آگاهی کاربر از خدمات نامناسب استفاده نماید و حتی اطلاعات شخصی وی نیز به سرقت رفته و کنترل موبایل کاربر به طور غیرمجاز از راه دور در اختیار هکر قرار بگیرد.

به دلیل باز بودن پلتفرم اندروید، قابلیت روت شدن و از قفل باز شدن آن نیز متصور است که در صورت روت شدن آن، مجوز دسترسی برای اشتراک اطلاعات بین برنامه های کاربردی نیز ممکن است بوجود آید و فایل ها ممکن است قابل خواندن توسط برنامه های دیگر باشد.

به منظور مقابله با این تهدیدات باید از جدیدترین و به روزترین نسخه اندروید که فاقد آسیب پذیری های شناخته شده هستند، استفاده کرد، همچنین راه حل های امنیتی برای شناسایی کدهای مخرب و نصب برنامه ها از طریق بانک های شناخته شده و معتبر می تواند به کاهش تهدیدات کمک نماید.

اندروید 4.4 با افزایش قابلیت های SELinux روی آن و افزودن کنترل های امنیتی، سطح قابل قبولی از امنیت را بوجود آورده است. پیاده سازی این ویژگی ها می تواند توسط سازندگان دستگاه های موبایل تغییر نماید.

آخرین راه حل های امنیتی که در اندروید نسخه 4.4 (Kit Kat) برای تبلت ها و گوشی های هوشمند درنظر گرفته شده اند، به شرح زیر است:

  • مدیریت گواهینامه (Certificate) و افزایش امنیت KeyStore: اطمینان از استفاده گواهینامه های معتبر و لیست سفید گواهینامه ها و بهبود عملکرد مدیریت گواهینامه ها
  • همواره در حال گوش دادن: با گفتن کلمه “OK Google” بدون لمس چیزی، جستجوی گوگل فعال می شود. این قابلیت که در Nexus 5 وجود داشت در این نسخه استفاده شده است. این ویژگی باعث می شود که نرم افزارهایی که به طور ناخواسته اقدام به ضبط صدا و مکالمات نمایند، غیرفعال شوند.
  • جلوگیری از افشای اطلاعات گرانبهای مکانی: برای کاربرانی که در مکان های امنیتی کار می کنند یا آگاه به مسائل امنیتی هستند باید قابلیت افزودن اطلاعات و پرکردن فیلدها به طور خودکار را غیرفعال نمایند تا در تماس هایی که اطلاعات مکانی افراد نیز ممکن است ارسال شود، این داده ها به طور ناخواسته ارسال نشود.
  • یکپارچه سازی با ابر: یکپارچه سازی ذخیره سازی محلی و ابر به معنی ذخیره اطلاعات به صورت خودکار و همزمانی بین دستگاه، برنامه ها و ابر است. این ویژگی باعث به اشتراک گذاری اطلاعات شرکت ها به صورت امن در داخل دستگاه با محیط ابری مانند Google Drive است.
  • SMS و Google Hangouts: افراد می توانند با تنظیم SMS، از آن استفاده کنند و این در حالی است که نرم افزار Google Hangouts علاوه بر اینکه به منظور ارتباطات شخصی استفاده می شود، می تواند با انجام تنظیمات برای اهداف ارتباطی سازمانی نیز استفاده شود.

علاوه بر این ویژگی ها، سازندگان دستگاه های موبایل می توانند ویژگی های جدیدی را نیز به آن اضافه کنند. مانند برنامه SAFE و KNOX که توسط شرکت سامسونگ برای افزایش امنیت بیشتر تولید شده اند.

کنترل های امنیتی

به منظور افزایش امنیت دستگاه های موبایل در کاربری سازمانی، کنترل های امنیتی که توسط موسسهSANS  در سال 2014 ارائه شده است، باید رعایت گردند. از این رو این کنترل ها به شرح زیر است:

  • لیست دارایی های سخت افزاری که به شبکه سازمانی متصل می شوند و از منابع آن بهره برداری می کنند، تهیه شود. دستگاه های موبایل و تبلت ها و سایر دستگاه های قابل حمل که داده ها را ذخیره و پردازش می کنند، باید شناسایی و در لیست دارایی ها مجاز قرار گرفته و امن سازی شوند.
  • از ابزارهای خودکار برای مانیتورینگ مستمر تجهیزات و دستگاه های موبایل به منظور عملکرد صحیح آنتی ویروس، نرم افزارهای ضدجاسوسی، فایروال شخصی و IPS مبتنی بر میزبان استفاده کرد. تمامی بدافزارهای شناسایی شده باید برای بررسی به مرکز مدیریت و تحلیل بدافزارها ارسال گردد.
  • از نرم افزارهای رمزنگاری معتبر و مصوب برای امنیت و حفظ اطلاعات حساس روی دستگاه های موبایل و سیستم ها استفاده نمود.
  • تنظیمات امنیتی استاندارد را برای سیستم عامل های دستگاه های موبایل پیاده سازی نمود. از جمله حذف حساب کاربری غیرضروری، غیرفعال کردن سرویس های غیر ضروری، نصب وصله های امنیتی، بستن پورت های بکار نرفته ، استفاده از سیستم های تشخیص و جلوگیری از حملات و فایروال های مبتنی بر میزبان، فعال سازی کلمات عبور یا الگوی امنیتی یا پین برای دسترسی به دستگاه های موبایل.
  • به منظور جلوگیری از نصب نرم افزارهای غیرمجاز و اجرای تنظمیات غیرمعمول و دسترسی غیرمجاز به اطلاعات از اصل کمترین امتیاز دسترسی برای کاربران جهت دسترسی به اطلاعات استفاده گردد و تعداد کمی از کاربران با دسترسی admin تعریف شوند.
  • از کانال های ارتباطی امن مانند VPN که روی دستگاه های موبایل قابل تعریف است، برای انتقال اطلاعات یا دسترسی از راه دور به سرورها و شبکه سازمانی استفاده شود.
  • برای دریافت اطلاعات بیشتر، با سدیدآفرین در ارتباط باشید.

مراجع

​Security Tips | Android Developers. (2014). Retrieved from http://developer.android.com/training/articles/security­tips.html

Citrix. (2014). BYOD and Information Security. Fort Lauderdale, FL, USA: Citrix Systems, Inc. Retrieved from http://citrix.com

SANS. (2014). The Critical Security Controls for Effective Cyber Defense-Version 5.0. SANS Institute.

Security | Android Developers. (2014). Retrieved from https://source.android.com/devices/tech/security/