به گزارش ایسنا فروشگاههای برنامک نقش مهمی را در تضمین امنیت گوشیهای هوشمند ایفا میکنند و در صورت رعایت توصیههای امنیتی میتوانند از کاربران در مقابل توسعهدهندگان بدافزارها و برنامکهای ناامن محافظت کنند. تهدید عامل بالقوهای است که از آسیبپذیریهای موجود در سامانهها استفاده میکند تا بتواند مقاصد مورد نظر حملهکننده را برآورده کند. به همین دلیل ضروری است تا توصیههای امنیتی برای این بخش از زیست بوم برنامکها شناسایی شوند.
در سندی که توسط مرکز ماهر از زیرمجموعههای سازمان فناوری اطلاعات منتشر شده است، توصیههای امنیتی به منظور مقابله با ریسکهای امنیتی مطرح در زیستبوم برنامکها و در جهت حفظ امنیت و حریم خصوصی استفادهکنندگان در حوزه بازارهای توزیع برنامکهای گوشیهای هوشمند تدوین شده است. همچنین براساس توصیههای مطرحشده از سوی استانداردهای معتبر جهانی بررسیهای لازم روی توصیههای امنیتی برای توزیعکنندگان برنامکهای سامانههای هوشمند همراه صورت گرفته و متناسب با شرایط حاکم بر فضای مجازی داخل کشور ارائه شده است.
هدف از ارائه توصیهها در این سند، کمک به حفظ امنیت و حریم خصوصی کاربران، ارتقای سطح حفاظت از اسرار کسبوکار سازمانی/حاکمیتی/ خصوصی، پیشگیری از مخاطرات در توزیع برنامکهای سامانههای هوشمند همراه و انتظامبخشی و تقویت صنعت و ارائه خدمات در زیستبوم سامانههای هوشمند همراه است و ذینفعان و مخاطبان آن، کاربران سامانههای هوشمند همراه، اپراتورهای تلفن همراه، توسعهدهندگان برنامکها، توزیعکنندگان برنامکها، سیاستگذاران سازمانی و سازندگان سامانههای هوشمند همراه هستند.
در این سند، «فروشگاه برنامک» توزیعکنندگان یا بازارهایی هستند که برنامکها را به صورت رایگان یا برای فروش به کاربران عرضه میکنند. فروشگاه برنامک فرصت مناسبی را در اختیار توسعهدهندگان قرار میدهد تا به بازار برنامکهای گوشیهای هوشمند ورود کرده و کسب درآمد کنند. توسعهدهندگان میتوانند با استفاده از پنجره مخصوصی که فروشگاه در اختیار آنها قرار میدهد، برنامکهای خود را منتشر، بهروزرسانی و مدیریت کنند.
توصیههای امنیتی فروشگاههای توزیع برنامک
فروشگاههای برنامک باید در راستای اعتلای امنیت برنامکها در کشور، با اعلام توافق روی مواردی از جمله حداقل سطح توصیهشده برای امنیت، به تشکیل ائتلاف و توافق با سایر فروشگاهها مبادرت کنند. همچنین فروشگاه برنامک باید مکانیسمی را به کار گیرد که به کاربران اجازه دهد مشروعیت فروشگاه را شناسایی کنند.
لازم است کلیه فروشگاههای برنامک از مرکز توسعه تجارت الکترونیکی وزارت صنعت، معدن و تجارت برای وبسایت خود نماد «اعتماد الکترونیکی» اخذ کرده و از ارائه برنامکهایی که نیاز به محدودیتزدایی (Jailbreak کردن یا root کردن) سامانههای هوشمند همراه دارند و همچنین آموزشهای مرتبط با آن خودداری کنند.
فروشگاه برنامک باید در بخش راهنمای نصب برنامکها یا در صفحه اول وبسایت خود، کاربران را از خطرات امنیتی مربوط به نصب برنامکها از منابع ناشناخته آگاه کرده و همچنین قبل از عرضه برنامکها به کاربران نهایی، آنها را با استفاده از ابزارهای تحلیل امنیتی و براساس چک لیست مصوب و حداقلهای امنیتی درنظر گرفته شده بررسی و مستند کند. به علاوه فروشگاه دستورالعملی مدون در خصوص رعایت حداقلهای امنیتی لازم برای برنامکها داشته باشد.
لزوم احراز اصالت توسعهدهندگان
لازم است فروشگاه برنامک نتایج تجزیه و تحلیلهای امنیتی خود در مورد برنامکها را با سایر فروشگاههای برنامک و محققین امنیتی به اشتراک بگذارد و همچنین توسعهدهندگان برنامکها را از نظر امنیتی احراز اصالت کند تا توسعهدهندگان جعلی نتوانند از اسم و رسم و اعتبار توسعهدهندگان دیگر سوءاستفاده کنند. فروشگاه برنامک باید برای هر یک از توسعهدهندگان برنامک یک پروفایل امنیتی ایجاد کرده و ریسکهای ایجادشده از سوی آنها را به دقت رصد و همچنین اعتبار توسعهدهندگان برنامک را بررسی کند.
فرآیند بررسی برنامک باید یک فرآیند مستمر باشد و فروشگاه باید برنامک را حتی پس از اینکه (توسط فروشگاه) مورد پذیرش قرار گرفت نیز به طور دورهای (۶ماهه) تحلیل یا رصد امنیتی کند. همچنین لازم است فروشگاه برنامک، بهروزرسانی برنامکهای بهروز شده موجود در فروشگاه و تحلیل امنیتی مجدد آنها را حداکثر سه روز پس از دریافت آخرین نسخه یا وصله از توسعهدهندگان برنامک انجام داده و سپس به روزرسانی برنامک را به اطلاع مشتریان خود برساند.
فروشگاه برنامک توسعهدهندگان را ملزم کرده تا برنامکهای خود را جهت پذیرش در فروشگاه به صورت دیجیتالی امضاء کنند و همچنین بررسی کند که مجوزهای دسترسی درخواستشده توسط هر برنامک با اهداف آن برنامک تناقضی نداشته باشد و تمامی برنامکها لیست مجوزهای دسترسی مورد نیاز خود را در زمان نصب نمایش میدهند.
فروشگاه برنامک باید راهنماها و دستورالعملهای امنیتی را جهت کمک به توسعهدهندگان برای تولید و ارائه برنامکهایی مطابق با قوانین تعیینشده از سوی فروشگاه و نهادهای ذیصلاح، برای رعایت حداقلهای امنیتی ارائه دهد و سیاستها، قوانین و شرایطی را که در ارتباط با امنیت و حریم خصوصی وضع کرده است، به تایید نهادهای ذیصلاح برساند (در صورت وجود چنین نهادهایی) و پس ازاعلام عمومی قوانین در سایت فروشگاه، بدون تایید نهادهای مربوطه اقدام به تغییر آنها نکند.
هشدار برای استفاده غیرقانونی از برنامکها
لازم است فروشگاه برنامک برای خدمات پرداختهای درونبرنامکی یک کتابخانه تهیه کرده و آن را دراختیار توسعهدهندگان قرار دهد، یا استفاده از کتابخانههای مورد تایید نهادهای ذیصلاح بانکی را به آنها توصیه کند. همچنین باید بر تبلیغات درون برنامکی برنامههای فروشگاه، مطابق قوانین و سیاستهای کشور نظارت داشته و دراین خصوص دستورالعمل داشته باشد و بهعلاوه در خصوص استفاده غیرقانونی از برنامکهای موجود در فروشگاه، هشدارهایی را به کاربران اعلام کند. فروشگاه برنامک باید از انتشار برنامکهایی که از بستر USSD برای انجام تراکنشهای مالی خود استفاده میکنند نیز خودداری کند.
فروشگاه برنامک باید آموزشها و اطلاعرسانیهای مرتبط با امنیت سیستمعامل، امنیت برنامکها یا آلوده شدن سامانههای هوشمند همراه به انواع بدافزارها و برنامکهای مخرب را در وبسایت یا ویترین خود قرار دهد. به علاوه لازم است پیش از انتظار برنامکها آنها را از نظر وجود بدافزار، آزمون و ارزیابی و از انتشار برنامکهای حاوی بدافزار جلوگیری کند. همچنین پس از کسب اطلاع از وجود بدافزار در برنامکها سریعا آنها را از ویترین فروشگاه خارج کند.
فروشگاه برنامک باید پیش از انتشار برنامکهایی که نیاز به دریافت مجوز از نهادهای مربوطه دارند، از وجود این مجوزها اطمینان حاصل کند و مکانیسمهایی را جهت تعیین و نمایش اعتبار برنامکها و توسعهدهندگان آنها در نظر بگیرد (دستورالعمل داشته باشند). بهعلاوه باید اعتبارسنجی مجزایی را در خصوص رتبه امنیتی و حریم خصوصی برنامکهای عرضهشده در نظر بگیرد.
نمایش نظرات درباره برنامکها با حفظ حریم خصوصی کاربران
فروشگاه برنامک باید نظرات و شکایات کاربران سامانههای هوشمند همراه در خصوص برنامکها را با رعایت حفظ حریم خصوصی کاربران در تحلیل امنیتی برنامکها دخالت داده، آرشیو کرده و یا به صورت عمومی نمایش داده و تبادل اطلاعات مرتبط با اعتبار برنامک با سایر فروشگاههای برنامک را مدنظر قرار دهد. بنابراین لازم است محرمانگی و حریم خصوصی اطلاعات دریافتی از سوی کاربران و توسعهدهندگان برنامکها (همچون نام، نام خانوادگی، شماره تلفن همراه، شماره ملی و شماره حساب بانکی) از سوی فروشگاه حفظ شود.
لازم است فروشگاه برنامک به منظور عرضه کلیه خدمات خود، اقدام به پیادهسازی بستر ثبتنام و ایجاد حساب کاربری برای کاربران و توسعهدهندگان کرده و امکان مشاهده رتبهبندی، امتیازات و نظرات کاربران روی برنامکها را برای توسعهدهندگان برنامکها فراهم کند و همچنینر به منظور حفظ کیفیت نظرات ثبتشده از سوی کاربران، آنها را پس از بازبینی و تایید انسانی نمایش دهد.
فروشگاه برنامک جهت انجام تراکنشهای مالی (دریافت هزینه از کاربران و توسعهدهندگان برنامک) باید تمامی جوانب یک پرداخت ایمن را در نظر بگیرد و برای آن دستورالعمل داشته باشد و همچنین مکانیسم امحاء برنامک را پیادهسازی کند (که به این روش switch-kill نیز گویند). لازم است فروشگاه با هدف تشخیص برنامکهایی که باید امحاء شوند یا از فروشگاه خارج شوند، نظرات و شکایات کاربران را به صورت مستمر تحت نظارت قرار دهد به علاوه از کارشناسان امنیتی برای مکانیسم امحاء برنامکها در سطوح مختلف (فروشگاه، توسعه دهنده، مشتری، سامانه) استفاده کند.
فروشگاه برنامک باید کاربران خود را تشویق کند که به طور مستمر بهروزرسانیهای مربوط به برنامکهای بهروز شده و نصبشده روی سامانه هوشمند همراه خود را انجام دهند و خود فروشگاه تا حدی که امکان دارد، وصلهها و بهروزرسانیهای امنیتی برنامکها را در اندازههای کوچک ارائه کند. فروشگاه باید در خصوص بهروزرسانی برنامکها و نحوه اطلاعرسانی به مشتریان دستورالعمل داشته و با توسعهدهندگان برنامکها توافقنامه داشته باشد.
فروشگاه برنامک باید در صورت مشاهده تخلف توسط یک توسعهدهنده برنامک (همانند سوءاستفاده از اطلاعات کاربران، کپی کردن برنامک یک توسعهدهنده دیگر، تقلب و دستکاری در امتیازدهی برنامک و ثبت نظرات خلاف واقع)، نسبت به حذف برنامک متخلف از ویترین فروشگاه اقدام کرده و جلوی کلیه دسترسیهای دادهشده به آن توسعهدهنده را بگیرد و یا در صورت لزوم موضوع را با سایر فروشگاهها یا نهادهای ذیصلاح به اشتراک بگذارد. همچنین در صورت دریافت درخواست از سوی یک توسعهدهنده در خصوص حذف برنامک از ویترین فروشگاه، باید این کار را با تایید تیم امنیتی فروشگاه انجام دهد.