يتم تجميع كل تطبيق جوال من طبقات من التعليمات البرمجية التي لا تراها معظم فرق الأمان أبدًا: مكتبات الجهات الخارجية، ومجموعات تطوير البرامج (SDK) للتحليلات، وأطر الإعلان، والحزم مفتوحة المصدر، والثنائيات الخاصة التي تصل مجمعة مسبقًا.
قد ترغب
Firmware and chipset software are often opaque. لا يمكن للمؤسسات إزالة التطبيقات المثبتة مسبقًا أو تصحيحها على الإطلاق.
يؤدي هذا إلى خلق عدم تناسق: يتم استخدام الأجهزة المحمولة في الأعمال الحساسة، ولكن تتمتع المؤسسات برؤية أقل لعناصرها الداخلية مقارنة بأي نقطة نهاية أخرى تقريبًا.
يسمح انفتاح نظام Android للباحثين باكتشاف المشكلات، ولكنه يؤدي أيضًا إلى التجزئة. تضيف كل شركة مصنعة للأجهزة، وشركة الاتصالات، وبائع الشرائح طبقات البرامج الخاصة بها. يمكن أن يتصرف التطبيق نفسه بشكل مختلف عبر الأجهزة اعتمادًا على البرامج الثابتة وبرامج التشغيل والخدمات المثبتة مسبقًا.
يعمل النظام البيئي الذي يتم التحكم فيه بإحكام من Apple على تقليل التجزئة ولكنه يزيد من التعتيم؛ يمكن أن تظل العيوب مخفية لسنوات قبل اكتشافها.
وفي كلتا الحالتين، تمتد سلسلة التوريد المتنقلة إلى ما هو أبعد من مطور التطبيق، ومع ذلك فإن المساءلة الأمنية لا تزال تقع على عاتق المنظمة.
يعمل النظام البيئي المحمول على نموذج الثقة المتتالي. يثق المطورون في أدوات تطوير البرامج (SDKs). Enterprises trust developers. يثق المستخدمون في متاجر التطبيقات. Security teams trust platform vendors. وعندما تنكسر هذه السلسلة في أي لحظة، فإن العواقب تتجه نحو الخارج.
Real-world examples make this clear. تم سحب الحزم مفتوحة المصدر المخترقة إلى تطبيقات الأجهزة المحمولة دون أن يدرك المطورون ذلك. قدمت حزم SDK الخاصة الموزعة كثنائيات اتصالات شبكة مخفية وتشفيرًا غير آمن.
قامت تطبيقات النظام المثبتة مسبقًا بتسريب بيانات استخدام التطبيق، وبيانات تعريف الرسائل القصيرة، ومعرفات الأجهزة، على الرغم من أنها لم تكن مرئية أبدًا لأدوات أمان المؤسسة.
In each case, the vulnerability wasn't introduced by the organization using the app. لقد ورثت.
ولهذا السبب فإن المخاطر المتنقلة مستمرة إلى هذا الحد: فالمؤسسات مسؤولة عن البرامج التي لم تكتبها، ولا تستطيع رؤيتها، وفي كثير من الأحيان لا تستطيع السيطرة عليها.
في بعض الحالات، تتواصل أدوات تطوير البرامج (SDK) هذه مع البنية التحتية خارج الولايات المتحدة أو الولايات القضائية الحليفة، مما يؤدي إلى تعرض محتمل لقوانين المراقبة الأجنبية أو اعتراض البيانات أو التأثير.
تقوم الحكومات بشكل متزايد بفحص تطبيقات الهاتف المحمول وأدوات تطوير البرامج (SDKs) المرتبطة بالصين والدول المعادية الأخرى بسبب البيانات التي يمكنها الوصول إليها والمكان الذي يمكن أن تتدفق فيه تلك البيانات.
عندما يقوم أحد التطبيقات بتضمين SDK لجهة خارجية، فإنه يرث بشكل فعال ملف تعريف المخاطر القانونية والتشغيلية والجيوسياسية للكيان الذي يقف وراءه، حتى لو لم يكن المطور على علم بهذه الاتصالات.
لا تزال معظم برامج أمان الأجهزة المحمولة تعتمد على موافقة متجر التطبيقات الرسمية. نجح هذا في عصر أبسط، عندما كانت التطبيقات أصغر وكانت التبعيات محدودة.
يركز فحص متجر التطبيقات على أنماط البرامج الضارة المعروفة، وليس تسرب البيانات غير المقصود أو سلوك الطرف الثالث الخطير. يؤدي هذا إلى إنشاء نقاط عمياء يستغلها المهاجمون وتتسلل منها التطبيقات المتسربة.
تتطلب رؤية سلسلة التوريد الكاملة اتباع نهج مختلف
لتقليل مخاطر سلسلة التوريد المتنقلة، تحتاج فرق الأمن إلى تغيير وجهة نظرها. The unit of risk is no longer the app. It's the supply chain behind the app.
وهذا يعني فهم الكود الذي تم شحنه بالفعل، وليس فقط ما تم الإعلان عنه. It means inspecting binaries, not only source. ويعني تقييم السلوك، وليس الأذونات فقط. ويعني ذلك التعامل مع البرامج الثابتة والمثبتة مسبقًا كجزء من سطح التهديد، وليس شيئًا خارج النطاق.
عندما تطبق المؤسسات ممارسات قائمة مواد البرامج على الأجهزة المحمولة، جنبًا إلى جنب مع الفحص الثنائي والتحليل السلوكي، فإنها تبدأ في رؤية المخاطر التي كانت غير مرئية في السابق.
تظهر أدوات تطوير البرامج (SDK) المخفية، وتطبيقات التشفير القديمة، والأسرار المشفرة، واتصالات الشبكة غير المتوقعة، عندما تنظر إلى ما هو أبعد من سطح التطبيق.
والأهم من ذلك، أن هذه التقنيات تسمح لفرق الأمن بالاستجابة للتغيير. Mobile apps update constantly. تحول التبعيات. New risks appear without warning. الرؤية المستمرة هي الطريقة الوحيدة لمواكبة ذلك.
Mobile devices are primary business tools. يقومون بتوثيق المستخدمين والوصول إلى الأنظمة الحساسة وتخزين البيانات المنظمة. ومع ذلك، فهي تظل واحدة من الأجزاء الأقل فهمًا في سطح الهجوم المؤسسي.
وإلى أن تبدأ المؤسسات في تجاوز سطح التطبيق إلى سلسلة توريد التطبيق، ستستمر المخاطر الموروثة في التراكم. سوف تستمر التطبيقات المتسربة. Firmware flaws will go unnoticed. وستستمر المنظمات في الرد على الأحداث التي لم تتوقع حدوثها من قبل.
لم يعد السؤال هو ما إذا كانت مخاطر سلسلة التوريد المتنقلة موجودة أم لا. يتعلق الأمر بما إذا كانت مؤسستك مجهزة لرؤيتها قبل أن تصبح خرقًا.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات