توصیه‌های امنیتی برای خرید فروشگاه‌های موبایلی

بانكداري ايراني - فروشگاه‌های برنامک نقش مهمی را در تضمین امنیت گوشی‌های هوشمند ایفا می‌کنند و درصورت رعایت توصیه‌های امنیتی می‌توانند از کاربران در مقابل توسعه‌دهندگان بدافزارها و برنامک‌های ناامن محافظت کنند.

به گزارش ایسنا، با توجه به استفاده روزافزون از سامانه‌های هوشمند همراه در بین اقشار مختلف جامعه و قابلیت‌های بسیاری که دستگاه‌های تلفن همراه در اختیار کاربران قرار می‌دهند، تضمین امنیت سامانه‌های هوشمند همراه حائز اهمیت است. یکی از مواردی که امنیت سامانه‌های هوشمند همراه را به مخاطره می‌اندازد، درگاه‌های عرضه و توزیع برنامک‌ها (اپلیکیشن‌ها) است.

فروشگاه‌های برنامک نقش مهمی را در تضمین امنیت گوشی‌های هوشمند ایفا می‌کنند و در صورت رعایت توصیه‌های امنیتی می‌توانند از کاربران در مقابل توسعه‌دهندگان بدافزارها و برنامک‌های ناامن محافظت کنند. تهدید عامل بالقوه‌ای است که از آسیب‌پذیری‌های موجود در سامانه‌ها استفاده می‌کند تا بتواند مقاصد مورد نظر حمله‌کننده را برآورده کند. به همین دلیل ضروری است تا توصیه‌های امنیتی برای این بخش از زیست بوم برنامک‌ها شناسایی شوند.

در سندی که توسط مرکز ماهر از زیرمجموعه‌های سازمان فناوری اطلاعات منتشر شده است، توصیه‌های امنیتی به منظور مقابله با ریسک‌های امنیتی مطرح در زیست‌بوم برنامک‌ها و در جهت حفظ امنیت و حریم خصوصی استفاده‌کنندگان در حوزه بازارهای توزیع برنامک‌های گوشی‌های هوشمند تدوین شده‌ است. همچنین براساس توصیه‌های مطرح‌شده از سوی استانداردهای معتبر جهانی بررسی‌های لازم روی توصیه‌های امنیتی برای توزیع‌کنندگان برنامک‌های سامانه‌های هوشمند همراه صورت گرفته و متناسب با شرایط حاکم بر فضای مجازی داخل کشور ارائه شده است.

هدف از ارائه توصیه‌ها در این سند، کمک به حفظ امنیت و حریم خصوصی کاربران، ارتقای سطح حفاظت از اسرار کسب‌وکار سازمانی/حاکمیتی/ خصوصی، پیشگیری از مخاطرات در توزیع برنامک‌های سامانه‌های هوشمند همراه و انتظام‌بخشی و تقویت صنعت و ارائه خدمات در زیست‌بوم سامانه‌های هوشمند همراه است و ذی‌نفعان و مخاطبان آن، کاربران سامانه‌های هوشمند همراه، اپراتورهای تلفن همراه، توسعه‌دهندگان برنامک‌ها،‌ توزیع‌کنندگان برنامک‌ها، سیاست‌گذاران سازمانی و سازندگان سامانه‌های هوشمند همراه هستند.

در این سند، «فروشگاه برنامک» توزیع‌کنندگان یا بازارهایی هستند که برنامک‌ها را به صورت رایگان یا برای فروش به کاربران عرضه می‌کنند. فروشگاه برنامک فرصت مناسبی را در اختیار توسعه‌دهندگان قرار می‌دهد تا به بازار برنامک‌های گوشی‌های هوشمند ورود کرده و کسب درآمد کنند. توسعه‌دهندگان می‌توانند با استفاده از پنجره مخصوصی که فروشگاه در اختیار آنها قرار می‌دهد، برنامک‌های خود را منتشر، به‌روزرسانی و مدیریت کنند.

توصیه‌های امنیتی فروشگاه‌های توزیع برنامک

فروشگاه‌های برنامک باید در راستای اعتلای امنیت برنامک‌ها در کشور، با اعلام توافق روی مواردی از جمله حداقل سطح توصیه‌شده برای امنیت، به تشکیل ائتلاف و توافق با سایر فروشگاه‌ها مبادرت کنند. همچنین فروشگاه برنامک باید مکانیسمی را به کار گیرد که به کاربران اجازه دهد مشروعیت فروشگاه را شناسایی کنند.

لازم است کلیه فروشگاه‌های برنامک از مرکز توسعه تجارت الکترونیکی وزارت صنعت، معدن و تجارت برای وب‌سایت خود نماد «اعتماد الکترونیکی» اخذ کرده و از ارائه برنامک‌هایی که نیاز به محدودیت‌زدایی (Jailbreak کردن یا root کردن) سامانه‌های هوشمند همراه دارند و همچنین آموزش‌های مرتبط با آن خودداری کنند.

فروشگاه برنامک باید در بخش راهنمای نصب برنامک‌ها یا در صفحه اول وب‌سایت خود، کاربران را از خطرات امنیتی مربوط به نصب برنامک‌ها از منابع ناشناخته آگاه کرده و همچنین قبل از عرضه برنامک‌ها به کاربران نهایی، آنها را با استفاده از ابزارهای تحلیل امنیتی و براساس چک لیست مصوب و حداقل‌های امنیتی درنظر گرفته شده بررسی و مستند کند. به علاوه فروشگاه دستورالعملی مدون در خصوص رعایت حداقل‌های امنیتی لازم برای برنامک‌ها داشته باشد.

لزوم احراز اصالت توسعه‌دهندگان

لازم است فروشگاه برنامک نتایج تجزیه و تحلیل‌های امنیتی خود در مورد برنامک‌ها را با سایر فروشگاه‌های برنامک و محققین امنیتی به اشتراک بگذارد و همچنین توسعه‌دهندگان برنامک‌ها را از نظر امنیتی احراز اصالت کند تا توسعه‌دهندگان جعلی نتوانند از اسم و رسم و اعتبار توسعه‌دهندگان دیگر سوءاستفاده کنند. فروشگاه برنامک باید برای هر یک از توسعه‌دهندگان برنامک یک پروفایل امنیتی ایجاد کرده و ریسک‌های ایجادشده از سوی آنها را به دقت رصد و همچنین اعتبار توسعه‌دهندگان برنامک را بررسی کند.

فرآیند بررسی برنامک باید یک فرآیند مستمر باشد و فروشگاه باید برنامک را حتی پس از این‌که (توسط فروشگاه) مورد پذیرش قرار گرفت نیز به طور دوره‌ای  (۶ماهه) تحلیل یا رصد امنیتی کند. همچنین لازم است فروشگاه برنامک، به‌روزرسانی برنامک‌های به‌روز شده موجود در فروشگاه و تحلیل امنیتی مجدد آنها را حداکثر سه روز پس از دریافت آخرین نسخه یا وصله از توسعه‌دهندگان برنامک انجام داده و سپس به روزرسانی برنامک را به اطلاع مشتریان خود برساند.

فروشگاه برنامک توسعه‌دهندگان را ملزم کرده تا برنامک‌های خود را جهت پذیرش در فروشگاه به صورت دیجیتالی امضاء کنند و همچنین بررسی کند که مجوزهای دسترسی درخواست‌شده توسط هر برنامک با اهداف آن برنامک تناقضی نداشته باشد و تمامی برنامک‌ها لیست مجوزهای دسترسی مورد نیاز خود را در زمان نصب نمایش می‌دهند.

فروشگاه برنامک باید راهنماها و دستورالعمل‌های امنیتی را جهت کمک به توسعه‌دهندگان برای تولید و ارائه برنامک‌هایی مطابق با قوانین تعیین‌شده از سوی فروشگاه و نهادهای ذی‌صلاح، برای رعایت حداقل‌های امنیتی ارائه دهد و سیاست‌ها، قوانین و شرایطی را که در ارتباط با امنیت و حریم خصوصی وضع کرده است، به تایید نهادهای ذی‌صلاح برساند (در صورت وجود چنین نهادهایی) و پس ازاعلام عمومی قوانین در سایت فروشگاه، بدون تایید نهادهای مربوطه اقدام به تغییر آنها نکند.

هشدار برای استفاده غیرقانونی از برنامک‌ها

لازم است فروشگاه برنامک برای خدمات پرداخت‌های درون‌برنامکی یک کتابخانه تهیه کرده و آن را دراختیار توسعه‌دهندگان قرار دهد، یا استفاده از کتابخانه‌های مورد تایید نهادهای ذی‌صلاح بانکی را به آنها توصیه کند. همچنین باید بر تبلیغات درون برنامکی برنامه‌های فروشگاه، مطابق قوانین و سیاست‌های کشور نظارت داشته و دراین خصوص دستورالعمل داشته باشد و به‌علاوه در خصوص استفاده غیرقانونی از برنامک‌های موجود در فروشگاه، هشدارهایی را به کاربران اعلام کند. فروشگاه برنامک باید از انتشار برنامک‌هایی که از بستر USSD برای انجام تراکنش‌های مالی خود استفاده می‌کنند نیز خودداری کند.

فروشگاه برنامک باید آموزش‌ها و اطلاع‌رسانی‌های مرتبط با امنیت سیستم‌عامل، امنیت برنامک‌ها یا آلوده شدن سامانه‌های هوشمند همراه به انواع بدافزارها و برنامک‌های مخرب را در وب‌سایت یا ویترین خود قرار دهد. به علاوه لازم است پیش از انتظار برنامک‌ها آنها را از نظر وجود بدافزار، آزمون و ارزیابی و از انتشار برنامک‌های حاوی بدافزار جلوگیری کند. همچنین پس از کسب اطلاع از وجود بدافزار در برنامک‌ها سریعا آنها را از ویترین فروشگاه خارج کند.

فروشگاه برنامک باید پیش از انتشار برنامک‌هایی که نیاز به دریافت مجوز از نهادهای مربوطه دارند، از وجود این مجوزها اطمینان حاصل کند و مکانیسم‌هایی را جهت تعیین و نمایش اعتبار برنامک‌ها و توسعه‌دهندگان آنها در نظر بگیرد (دستورالعمل داشته باشند). به‌علاوه باید اعتبارسنجی مجزایی را در خصوص رتبه امنیتی و حریم خصوصی برنامک‌های عرضه‌شده در نظر بگیرد.

نمایش نظرات درباره برنامک‌ها با حفظ حریم خصوصی کاربران

فروشگاه برنامک باید نظرات و شکایات کاربران سامانه‌های هوشمند همراه در خصوص برنامک‌ها را با رعایت حفظ حریم خصوصی کاربران در تحلیل امنیتی برنامک‌ها دخالت داده، آرشیو کرده و یا به صورت عمومی نمایش داده و تبادل اطلاعات مرتبط با اعتبار برنامک با سایر فروشگاه‌های برنامک را مدنظر قرار دهد. بنابراین لازم است محرمانگی و حریم خصوصی اطلاعات دریافتی از سوی کاربران و توسعه‌دهندگان برنامک‌ها (همچون نام، نام خانوادگی، شماره تلفن همراه، شماره ملی و شماره حساب بانکی) از سوی فروشگاه حفظ شود.

لازم است فروشگاه برنامک به منظور عرضه کلیه خدمات خود، اقدام به پیاده‌سازی بستر ثبت‌نام و ایجاد حساب کاربری برای کاربران و توسعه‌دهندگان کرده و امکان مشاهده رتبه‌بندی، امتیازات و نظرات کاربران روی برنامک‌ها را برای توسعه‌دهندگان برنامک‌ها فراهم کند و همچنینر به منظور حفظ کیفیت نظرات ثبت‌شده از سوی کاربران، آنها را پس از بازبینی و تایید انسانی نمایش دهد.

فروشگاه برنامک جهت انجام تراکنش‌های مالی (دریافت هزینه از کاربران و توسعه‌دهندگان برنامک) باید تمامی جوانب یک پرداخت ایمن را در نظر بگیرد و برای آن دستورالعمل داشته باشد و همچنین مکانیسم امحاء برنامک را پیاده‌سازی کند (که به این روش switch-kill نیز گویند). لازم است فروشگاه با هدف تشخیص برنامک‌هایی که باید امحاء شوند یا از فروشگاه خارج شوند، نظرات و شکایات کاربران را به صورت مستمر تحت نظارت قرار دهد به علاوه از کارشناسان امنیتی برای مکانیسم امحاء برنامک‌ها در سطوح مختلف (فروشگاه، توسعه دهنده، مشتری، سامانه) استفاده کند.

فروشگاه برنامک باید کاربران خود را تشویق کند که به طور مستمر به‌روزرسانی‌های مربوط به برنامک‌های به‌روز شده و نصب‌شده روی سامانه هوشمند همراه خود را انجام دهند و خود فروشگاه تا حدی که امکان دارد، وصله‌ها و به‌روزرسانی‌های امنیتی برنامک‌ها را در اندازه‌های کوچک ارائه کند. فروشگاه باید در خصوص به‌روزرسانی برنامک‌ها و نحوه اطلاع‌رسانی به مشتریان دستورالعمل داشته و با توسعه‌دهندگان برنامک‌ها توافق‌نامه داشته باشد.

فروشگاه برنامک باید در صورت مشاهده تخلف توسط یک توسعه‌دهنده برنامک (همانند سوء‌استفاده از اطلاعات کاربران، کپی کردن برنامک یک توسعه‌دهنده دیگر، تقلب و دستکاری در امتیازدهی برنامک و ثبت نظرات خلاف واقع)، نسبت به حذف برنامک متخلف از ویترین فروشگاه اقدام کرده و جلوی کلیه دسترسی‌های داده‌شده به آن توسعه‌دهنده را بگیرد و یا در صورت لزوم موضوع را با سایر فروشگاه‌ها یا نهادهای ذی‌صلاح به اشتراک بگذارد. همچنین در صورت دریافت درخواست از سوی یک توسعه‌دهنده در خصوص حذف برنامک از ویترین فروشگاه، باید این کار را با تایید تیم امنیتی فروشگاه انجام دهد.