إجراء اختبارات الاختراق بطريقة الصندوق الرمادي لتطبيقات الويب وiOS وأندرويد لشركة Interprefy

ملخص المشروع

في إطار التعاون طويل الأمد مع شركة Interprefy، أجرت ساينس سوفت اختبارات الاختراق بطريقة الصندوق الرمادي لتطبيقات الويب وiOS وأندرويد لدى الشركة. وقد أثبتت نتائج الاختبارات مدى كفاءة برنامج إدارة الأمان لدى شركة Interprefy، كما قدمت هذه الاختبارات للشركة رؤى وأفكارًا مفيدة لتعزيز أمان مكونات البنية التحتية لتقنية المعلومات لديها.

العميل

تُعد Interprefy الشركة الرائدة عالميًا في تقديم حلول الترجمة الفورية متعددة اللغات. وتوفر Interprefy حلولًا مزودة بتقنيات الحوسبة السحابية والذكاء الاصطناعي لتمكين عملائها من الترجمة الفورية عن بُعد بالعديد من اللغات المنطوقة ولغة الإشارة، بالإضافة إلى تحويل النص إلى كلام في الوقت الفعلي.

حتى سبتمبر 2023، ساعدت Interprefy على تسهيل أكثر من 50,000 حدث مباشر وافتراضي، بما في ذلك مؤتمرات سياسية وأكاديمية، وفعاليات رياضية عالمية، ووظائف أعمال للشركات المدرجة في قائمة فورتشن 500.

اختبارات اختراق منتظمة لتعزيز إدارة أمان المعلومات

يُعد أمان المعلومات أمرًا بالغ الأهمية لشركة Interprefy، إذ تتعامل حلول الشركة مع المعلومات الحساسة لعملائها، بما في ذلك البيانات الشخصية والممتلكات الفكرية وأسرار الأعمال التجارية. ولحماية بيانات العملاء، وضعت شركة Interprefy نظامًا قويًا لأمان المعلومات حصلت بفضله على شهادة الأيزو 27001. ووفقًا للاستراتيجية التي وضعتها الشركة لإدارة المخاطر، تجري Interprefy اختبارات أمنية لبرمجياتها بانتظام.

كان أول تعاون بين Interprefy وساينس سوفت في عام 2019، عندما استعانت الشركة بفريقنا لإجراء اختبارات الاختراق لتطبيقات الويب والجوال لديها. وقد كان التعاون ناجحًا إلى درجة شجعت الشركة على إعادة الاستعانة بخبراء الأمان لدينا لإجراء العديد من الفحوصات الأمنية لتطبيقاتها. وفي كل مرة، كان العميل يشعر بالرضى التام عن جودة خدماتنا ونهجنا الفعال في إجراء الاختبارات وتواصلنا السلس طوال فترة التعاون. من جانبنا، فإننا نقدِّر حرص شركة Interprefy على تحقيق الأمان، وتقديمها متطلبات واضحة ومحددة بدقة، وسرعة استجابتها لاحتياجاتنا.

اختبارات الصندوق الرمادي لتعزيز أمان تطبيق الويب

في أحدث تعاون لنا مع شركة Interprefy، خطط فريقنا لإجراء اختبارات الاختراق بطريقة الصندوق الرمادي لتطبيق الويب. وحرصنا على أن تتوافق الاختبارات مع كلٍ من: منهجيات معيار تنفيذ اختبارات الاختراق، ودليل اختبارات أمان الويب، ودليل اختبارات أمان تطبيقات الجوال الصادر عن مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST SP 800-115).

الكشف عن عدة مشكلات وثغرات أمنية في تطبيق الويب

قدمت شركة Interprefy لفريقنا بيانات تسجيل الدخول لـ4 أدوار للمستخدم: المتحدث، والجمهور، والمترجم الفوري، والمشرف. ونتيجة لعمليات الفحص الآلية واليدوية، كشف خبراؤنا عن العديد من المشكلات الأمنية وصنفوها وفقًا للقائمة التي تصدرها مؤسسة OWASP لأعلى 10 مخاطر أمنية. ولم تُشكِّل نقاط الضعف المكتشَفة أي مخاطر حرجة على حماية البيانات. مع ذلك، وضع خبراؤنا التدابير التصحيحية الواجب اتخاذها فورًا لمعالجة أي ثغرات أمنية محتملة.

ومن الثغرات الأمنية التي اكتشفها خبراؤنا ما يلي:

عدم التحكم في الوصول

أتاح تطبيق الويب للمختبرين تعدد أسماء المستخدمين، ما يُعد ثغرة أمنية قد تُسهِّل هجمات القوة الغاشمة أو محاولات الاستحواذ على الحسابات. ولمعالجة هذه التهديدات، أوصى مهندسو الأمان في فريقنا بضبط إعدادات التحكم في الوصول لكل دور مستخدم، ومعالجة طلبات الوصول وفقًا لكل دور. كما نصح خبراؤنا بضرورة إنشاء أرقام تعريفية فريدة يصعب تخمينها لكل مستخدم، وتقييد عدد الطلبات للمستخدم الواحد.

وجود إعدادات أمنية خاطئة

كشف خبراؤنا عن إمكانية التلاعب بسياسة ميزة مشاركة الموارد عبر الأصول (CORS) عن طريق تغيير عنوان Origin المخصص لتحديد مصادر طلبات الويب. وقد يتيح ذلك للمخترقين المحتملين إمكانية تضليل الخادم ليعتبر الطلبات الخبيثة طلبات مشروعة. لمعالجة ذلك، أوصى خبراؤنا بضرورة التحقق من صحة عنوان Origin والسماح لقائمة محددة من النطاقات أو النطاقات الفرعية بتقديم طلبات متعددة المصدر إلى الخادم.

بالإضافة إلى ذلك، افتقر التطبيق إلى وجود أهم العناوين الأمنية، مثل: Content-Security-Policy، وStrict-Transport-Security، وX-Content-Type-Options، و X-Frame-Options. وكان من الضروري إضافة هذه العناوين لتعزيز حماية التطبيق ضد الهجمات السيبرانية التي تستخدم تقنية (MIME Sniffing) لإضافة محتوى خبيث إلى تطبيق الويب، وهجمات البرمجة عبر المواقع (Cross-Site Scripting)، وغيرها من التهديدات الأمنية لتطبيقات الويب.

وجود مكونات ضعيفة أمنيًا وغير مُحدثة

كشف تحليل المحتوى الذي أجراه خبراؤنا لتطبيق الويب عن استخدامه إصدارًا قديمًا من إطار العمل Angular. وعلى الرغم من استبعاد إمكانية أن يستغل المخترقون المحتملون الثغرات الأمنية لتلك المكونات، فقد نصح خبراؤنا بتحديث إطار العمل Angular لأحدث إصدار متاح منه.

اختبارات الاختراق تؤكد تحسن المستوى الأمني لتطبيقات iOS وأندرويد

للكشف عن العيوب الأمنية في تطبيقي iOS وأندرويد، اتبع فريقنا منهجيات الهندسة العكسية والتحليل الثابت والتحليل الديناميكي. وقد حاول خبراؤنا استغلال نقاط الضعف المكتشَفة لتقييم تأثيرها المحتمل في التطبيقات. وعقب تحليل النتائج، كان خبراؤنا سعداء للغاية لإبلاغ العميل بالمستوى الفائق لأمان التطبيقين.

على الرغم من ذلك، اكتشف فريقنا ثغرة أمنية واحدة منخفضة الخطورة في تطبيق iOS، وهي استخدام الكود الثنائي للتطبيق دالة التوزيع الديناميكي للذاكرة malloc، التي يسهل استغلالها لحجب الخدمة في بعض الحالات النادرة. لمعالجة ذلك، اقترح خبراء ساينس سوفت استخدام دالة التوزيع الديناميكي للذاكرة Calloc، لكونها الأكثر توافقًا بحسب أفضل ممارسات الأمن السيبراني.

اقترح فريقنا أيضًا بعض التدابير لتعزيز قدرة تطبيق أندرويد على مواجهة الهجمات السيبرانية، مثل:

• استخدام خوارزميات توليد الأرقام شبه العشوائية بأمان، لضمان عدم إمكانية التنبؤ بالأرقام العشوائية مع مرور الوقت وتوفير حماية أفضل لعمليات التشفير.
• نقل البيانات عبر قنوات اتصال مشفرة بأمان، لحمايتها من الاعتراض والتغيير غير المصرح به.

أبرز المنجزات التي حققناها لشركة Interprefy

• تقديم وثائق تثبت قدرة تطبيقات الويب والجوال في شركة Interprefy على مواجهة التهديدات الأمنية المحتملة، وذلك بناءً على التجربة العملية.
• تعزيز أمان التطبيقات بفضل اختبارات الاختراق المنتظمة وتطبيق أفضل ممارسات الأمن السيبراني.
• تقارير واضحة تثبت امتثال شركة Interprefy لمتطلبات معيار الأيزو 27001 وتبرز نهجها الاستباقي والمسؤول في إدارة أمان البيانات.

التقنيات والأدوات

Metasploit, Wireshark, Nessus, BurpSuite, Acunetix, cURL, MobSF, jadx, Apktool, Frida, Objection, Android Studio.