الــسلام عـــليكم
** بعـض التطبيقات التي نستخدمها على الهـواتف الذكيه تتطلب اتصال بالانترنت سواء كانت برامج خدميه او العاب ولكن هل تسـالت يوما هل هذي
البرامج أمـنه ؟ هل تشـفر البيانات عند الاتصال ؟ هل تـسرب بياناتك الى شركات الاعلانات ؟؟
** فالبدايه يجب ان تعـرف ان التطبيقات على الهواتف الذكيه تتصل بالانترنت مثل المتصـفح الذي تستخدمه في جهاز الكمبيوتر اي انها تستخدم بروتوكـول http او https للاتصال المشفر ولكن لانستطيع التاكد من ان هذا البرامج تستخدم البروتوكول https فعلا , وايضا لانعرف الجهـه التي يتصل بها هذا البرنامج
لانه وببساطه لا توجد ادوات مثل شـريط العناوين المتوفر فالمتصفح ولذلك فان العمليه تجري فالخلفيه (background)
**********************
ساسـتعرض اليوم اداة ( Zscaler Application Profiler (ZAP من شـركة Zscaler المختـصه في امن المعلومات
** الاداه تعمل على تحليـل البيانات التي ترسلها التطبيقات (سواء كانت Andriod او IOS )عبر الانترنت وذلك من خلال proxy server تابع للشركه يسـمح للمستخدم بتوجيه بيانات الاتصال اليه ليقوم بتحليلها حيث يعترض الاتصال بين الهاتف والخادم (server )التابع للشركه المطوره للتطبيق
ملاحظه : الشرح سيكون على نظام اندرويد وساضع رابط فيديو للشركه يوضح العمليه على هاتف أيفون
الاداه تفحص التالي :
**Authentication هل يرسل التطبيق (اسم المستخدم وكلمة المرور ) مشفره ام لا
** Device Metadata Leakage البيانات التي تعرف الجهاز مثل Unique Device Identifier (UDID)
** Personally Identifiable Information Leakage البيانات الخاصه بالمستخدم كالايميل ورقم الهاتف يمكن تسريبها لمطور التطبيق
** Exposed content تسريب البيانات للشركات المهتمه بتحليل حركة الانترنت او شركات الاعلانات
** يمكن فحص التطبيقات بطريقتين
* search وتعتمد على تحليلات سابقه قامت بها الشركه حيث يكتفي المستخدم بكتابة اسم التطبيق لتظهر النتائج مثال
skype ios , Skype - free IM & video calls Android
* SCAN
تعتمد على فحص البيانات مباشره عند بدأ استخدام التطبيق حيث تمر البيانات عبر proxy server خاص بالشركه
وتتطلب التالي :
**App URL رابط التطبيق (مثال :SKYPE ) من المتجر سواء كان IOS او Andriod
** تبيث شهاده رقميه على الهاتف لكي تستطيع الشركه فحص الاتصال المشفر(للحصول على نتائج افضل )
حمل الشهاده الخاص بكل جهاز :
وانقلها لذاكرة الهاتف , ثم اتبع الخطوات التاليه لتثبيت الشهاده :
>> من الاعدادت
>> الامان
>> install from device storage
>> الهاتف سيجد الشهاده تلقائيا
** موافق
>> سيطلب وضع رمز لقفل الشاشه
>> موافق
* Basic Options
** اكتب بيانات وهميه تستخدمها الشركه للتاكد من ان التطبيق لا يسرب البيانات
ثم اضغط على proxy scan
ستظهر اعدادات البروكسي سيرفر الذي سترسل له البيانات , سنضع هذه العناوين في اعدادات شبكة الوايرلس فالهاتف كالتالي :
>> الاعدادات
>> WI - FI
>> ضغط مطول على اسم الشبكه
>> التعديل على اعدادت الشبكه
>> اظهار الاعدادات المتقدمه
>> اعدادات البروكسي>>> يدوي
ZAP.ZSCALER.COM
8881
>> موافق
الان كل طلبات الاتصال على الانترنت ستتوجه الى البروكسي سيرفر الذي سيعترض البيانات ويفحصها ثم يمررها الى سيرفر الشركه المطوره للتطبيق
نعود الى صفحة الموقع
Start Capture
** سجل الدخول للتطبيق وابدا بستخدامه لمده اقل من دقيقتين
ستلاحظ حجم البيانات يزداد ثم اضغط على
Stop Capture
** الان ننتقل للخطوه النهائيه وهي تحليل البيانات وتقييم البرنامج
Analyze
** سيظهر لنا تقييم البرنامج 12\100
نلاحظ ان البرنامج يرسل اسم المستخدم وكلمة المرور مشفره
نلاحظ ايضا ان البرنامج يتواصل مع شركات الاعلانات
فيديو مقدم من الشركه يوضح العمليه على هاتف ايفون
ملاحظه لمستخدمي الاندرويد : بعد الانتهاء من التجربه لكي تستطيع تغيير اعدادات قفل الشاشه اتبع التالي ::
>> من الاعدادات
>> الامان
>> Clear credentials
>> موافق
وصلنا الى نهاية الشرح , اتمنى ان يكون المحتوى مفيد
0 comments:
إرسال تعليق