منځپانګې پټول
1 خوندي معیاري اپلیکیشن
2 د محصول معلومات
2.1 مشخصات
2.2 د معیار په اړه
2.3 موخه، ساحه، او مطلوب اوریدونکي
2.4 خبرتیا او د پراختیا کونکي لارښود
2.5 د سند تعریفونه او نورمالي حوالې
3 د محصول کارولو لارښوونې
3.1 تصدیق کول
3.1.1 امنیتي کنټرولونه
3.1.2 AUTHN-BP01 - د څو فکتور تصدیق (MFA)
3.1.2.1 د تطبیق لارښود
3.2 ډیری پوښتل شوي پوښتنې (FAQ)
3.2.1 پوښتنه: د CSA د خوندي ایپ معیاري هدف څه دی؟
3.2.2 پوښتنه: د CSA د خوندي اپلیکیشن معیار لپاره مطلوب لیدونکي څوک دي؟
3.2.3 پوښتنه: د څو فکتور تصدیق (MFA) پلي کولو ګټې څه دي؟
3.3 اسناد / سرچینې
3.3.1 حوالې
3.4 اړونده پوسټونه

خوندي معیاري اپلیکیشن

د محصول معلومات

مشخصات

  • د محصول نوم: د CSA خوندي اپلیکیشن معیاري
  • نسخه: 1.0
  • د خپریدو نیټه: د جنوري 10th، 2024

د معیار په اړه

د CSA د خوندي اپلیکیشن معیار د لارښوونو او غوره مجموعه ده
د تصدیق کولو امنیت کنټرولونو پلي کولو لپاره تمرینونه
ګرځنده غوښتنلیکونه. دا هدف د خوندي تصدیق ډاډمن کول دي
میکانیزمونه او حساس معلومات د غیر مجاز لاسرسي څخه ساتي. د
معیار د مختلف سازمانونو په مشوره رامینځته شوی
او د سایبر امنیت په برخه کې ماهرین.

موخه، ساحه، او مطلوب اوریدونکي

د CSA د خوندي اپلیکیشن معیار هدف چمتو کول دي
پراختیا کونکي د سپارښتنو او پلي کولو لپاره غوره تمرینونه لري
په ګرځنده غوښتنلیکونو کې خوندي تصدیق کنټرولونه. معیاري
د پراختیا کونکو او سازمانونو لپاره پلي کیږي چې پدې کې ښکیل دي
د ګرځنده غوښتنلیکونو پراختیا چې تصدیق ته اړتیا لري. دا
د تصدیق کولو ټولیز امنیت لوړولو لپاره ډیزاین شوی
د کارونکي محرمیت پروسس او ساتنه.

خبرتیا او د پراختیا کونکي لارښود

د CSA د خوندي اپلیکیشن معیاري پراختیا کونکو ته لارښود چمتو کوي
د تصدیق کولو امنیتي کنټرول پلي کول. دا ټینګار کوي
د صنعت غوره عملونو د تعقیب اهمیت او ډاډ ترلاسه کول
د تصدیق کولو میکانیزمونو خوندي پلي کول. پرمخ وړونکي
د پلي کولو په اړه د تفصيلي لارښود لپاره باید معیار ته مراجعه وشي
وړاندیز شوي امنیتي کنټرولونه.

د سند تعریفونه او نورمالي حوالې

د CSA د خوندي اپلیکیشن سټنډرډ کې د اسنادو تعریفونه او
معیاري حوالې چې کارول شوي اصطلاحات روښانه کوي
او نورو اړونده صنعت معیارونو او لارښوونو ته مراجعه وکړئ.
پراختیا کونکي باید دا تعریفونه او حوالې ته مراجعه وکړي a
د معیار ښه پوهه.

د محصول کارولو لارښوونې

تصدیق کول

تصدیق د ډیری ګرځنده تلیفون لازمي برخه ده
غوښتنلیکونه دا د کاروونکو، مشتریانو هویت تاییدوي،
غوښتنلیکونه، او وسایل مخکې له دې چې ځانګړي ته د لاسرسي اجازه ورکړي
سرچینې یا د ځانګړو کړنو اجازه ورکول. د CSA خوندي اپلیکیشن معیاري
د خوندي پلي کولو لپاره سپارښتنې او غوره کړنې وړاندې کوي
د تصدیق کنټرولونه.

امنیتي کنټرولونه

د CSA د خوندي اپلیکیشن معیار لاندې شامل دي
د تصدیق امنیت کنټرولونه:

ID کنټرول
AUTHN-BP01 ایپ د تصدیق کولو لپاره ملټي فکتور تصدیق (MFA) کاروي
د لوړ خطر لیږد.
AUTHN-BP02 د کنټرول توضیحات
AUTHN-BP03 د کنټرول توضیحات
AUTHN-BP04 د کنټرول توضیحات
AUTHN-BP05 د کنټرول توضیحات
AUTHN-BP06 د کنټرول توضیحات

AUTHN-BP01 - د څو فکتور تصدیق (MFA)

په دودیز واحد فکتور تصدیق سیسټم کې، کاروونکي
په عموم ډول یوازې د یو څه داخلولو ته اړتیا لرئ - تاسو پوهیږئ (لکه کارن نومونه
او پاسورډونه). په هرصورت، MFA د هویت تصدیق کولو پرتونه اضافه کوي
اضافي فکتورونو ته اړتیا لري لکه یو څه چې تاسو یې لرئ او
یو څه - تاسو - یاست. دا د ناوړه ګټې اخیستنې لپاره ډیر ننګونې کوي
فعالین د حسابونو سره موافقت کوي او د ټولیز امنیت ته وده ورکوي
د تصدیق پروسه.

د تطبیق لارښود

پراختیا کونکي باید د ګام پورته کولو MFA پلي کړي، کوم چې اړتیا لري
د لوړ خطر لیږد لپاره اضافي تصدیق کچه. د
د CSA د خوندي اپلیکیشن معیار لاندې MFA ته لومړیتوب ورکوي
ترکیبونه:

  1. یو څه چې تاسو پوهیږئ
  2. یو څه - تاسو - لرئ
  3. یو څه - تاسو - یاست

ډیری پوښتل شوي پوښتنې (FAQ)

پوښتنه: د CSA د خوندي ایپ معیاري هدف څه دی؟

A: د CSA د خوندي ایپ معیاري هدف چمتو کول دي
پراختیا کونکي د سپارښتنو او پلي کولو لپاره غوره تمرینونه لري
په ګرځنده غوښتنلیکونو کې خوندي تصدیق کنټرولونه.

پوښتنه: د CSA د خوندي ایپ لپاره مطلوب لیدونکي څوک دي
معیاري؟

A: د CSA د خوندي اپلیکیشن معیار د پراختیا کونکو لپاره دی او
هغه سازمانونه چې د ګرځنده غوښتنلیکونو په پراختیا کې ښکیل دي
چې تصدیق ته اړتیا لري.

پوښتنه: د ملټي فکتور پلي کولو ګټې څه دي؟
تصدیق (MFA)؟

الف: د MFA پلي کول د هویت تصدیق کولو پرتونه زیاتوي
دا د ناوړه لوبغاړو لپاره خورا ننګونه ده چې حسابونو سره جوړجاړی وکړي او
د تصدیق پروسې عمومي امنیت لوړول.

View Fullscreen

1

د CSA د خوندي اپلیکیشن معیاري نسخه 1.0 د جنوري په 10 مه 2024 خپور شو
2

په مشوره سره:
د سینګاپور د بانکونو ټولنه، د سایبر کمیټې دایمي کمیټه ډیلویټ سویل ختیځ آسیا د خطر مشورتي ارنسټ او ځوان مشورتي Pte. Ltd. KPMG in Singapore Lazada Microsoft Singapore PricewaterhouseCoopers Risk Services Pte. Ltd.
رد کول:
دا سازمانونه د امنیت کنټرول په اړه د فیډبیک او نظرونو لپاره د معیار په اړه سلا شوي، د امنیت کنټرول توضیحات، او تخنیکي پلي کولو لارښوونې. تر هغه حده چې د قانون له مخې اجازه ورکړل شوې، CSA، او بهرني مشاورین باید د هر ډول غلطۍ، تېروتنې او/یا نیمګړتیاو لپاره مسؤل نه وي او نه هم د هر ډول زیان یا زیان لپاره (د ګټې، سوداګرۍ، نیکمرغۍ، یا شهرت د زیان په شمول. ، او/یا کوم ځانګړي، حادثې، یا نتیجه لرونکي زیانونه) په دې معیار باندې د هر ډول کارونې یا تکیه کولو په اړه. هغه سازمانونه چې د ګرځنده ایپسونو رامینځته کوي ، د خدماتو چمتو کونکي او پراختیا کونکو ته مشوره ورکول کیږي چې په پام کې ونیسي چې معیار څنګه د دوی په ځانګړي شرایطو کې پلي کیدی شي د مینځپانګې او / یا وړاندیزونو پلي کولو په اړه خپل قانوني او / یا تخنیکي مشورې ترلاسه کړي د ګرځنده پرمختللو معیاري سازمانونو کې. ایپس، د خدماتو چمتو کونکي او پراختیا کونکي باید مسلکي قضاوت وکړي که چیرې او کله چې په معیار کې سپارښتنې پلي کړي، او دا هم باید په پام کې ونیسي چې ایا اضافي اقدامات د دوی د ځانګړو شرایطو په اړه اړین دي.
3

منځپانګې
د دې سره په مشوره کې: ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………. …………………………………………………………………………………………………………………. 3 د معیار په اړه ……………………………………………………………………………………………………… 3 موخه، ساحه، او مطلوب اوریدونکي ……………………………………………………………………………………… 6 خبرتیا او د پراختیا کونکي لارښود …………………… …………………………………………………………………. 6 د سند تعریفونه او نورمالي حوالې ……………………………………………………………………… 7 8. تصدیق ……………………………… …………………………………………………………………… 1
AUTHN-BP01 …………………………………………………………………………………………………………… 11 AUTHN-BP01a ………………………………………………………………………………………………………. 13 AUTHN-BP01b ………………………………………………………………………………………………………. 14 AUTHN-BP01c……………………………………………………………………………………………………………….. 15
AUTHN-BP02 ……………………………………………………………………………………………………… 16 AUTHN-BP03 ……………………………………………………………………………………………………………… ۱۷
AUTHN-BP03a ………………………………………………………………………………………………………. 18 AUTHN-BP03b ………………………………………………………………………………………………………. 19 AUTHN-BP04 ……………………………………………………………………………………………………………. 20 AUTHN-BP05 …………………………………………………………………………………………………………… 21 AUTHN-BP06 ……………………………………………………………………………………………………………. 22 ………………………………………………………………………………………………………… ......... 23 2. واک ورکول …………………………………………………………………………………… ….. 24 لیکوال-BP01 ………………………………………………………………………………………………… .. 25 لیکوال-BP02 ……………………………………………………………………………………………………………… 26 لیکوال-BP03 ………………………………………………………………………………………. 27 لیکوال-BP04 ……………………………………………………………………………………………………………… 28 ……………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… …. 29 ذخیره-BP3 ……………………………………………………………………………………………………………… 30 ذخیره-BP01 ……………………………………………………………………………………………………………… 31 STORAGE-BP02a ………………………………………………………………………………………………………. 32 ذخیره-BP02b ……………………………………………………………………………………………………. 33 ذخیره-BP02 ……………………………………………………………………………………………………………… 34 ………………………………………………………………………………………………………… ……….. 03 35. د T ضدampering & anti-Reversing …………………………………………………………………………………………….. 37 مقاومت-BP01 ………………… ………………………………………………………………………………………. 38 مقاومت-BP02 ………………………………………………………………………………………………………. ۳۹
4

مقاومت-BP03 ………………………………………………………………………………………………………. 41 مقاومت-BP04 ………………………………………………………………………………………………………. 42 مقاومت-BP05 ………………………………………………………………………………………………………. 43 مقاومت-BP06 ………………………………………………………………………………………………………. 44 مقاومت-BP07 ………………………………………………………………………………………………………. 45 حوالې……………………………………………………………………………………………………………………… 46
5

د معیار په اړه
پیژندنه د خوندي اپلیکیشن سټنډرډ د ګرځنده غوښتنلیکونو (ایپس) لپاره وړاندیز شوی معیار دی چې د سینګاپور د سایبر امنیت ادارې (CSA) لخوا رامینځته شوی ، د مالي موسسو ، تخنیکي سازمانونو ، مشورتي شرکتونو او دولتي ادارو څخه د صنعت شریکانو سره په مشوره. اوورview د سټنډرډ هدف دا دی چې د ګرځنده اپلیکیشن پراختیا کونکو او وړاندیز کونکو لپاره د تعقیب لپاره د امنیت کنټرولونو وړاندیز شوي اساس لیک وړاندې کړي. دا به ډاډ ترلاسه کړي چې ټول محلي ایپسونه د ګرځنده ایپسونو لپاره د ورته امنیت کنټرولونو سره سمون لري، په دې توګه په سینګاپور کې کوربه شوي او جوړ شوي ایپسونو امنیت کچه ​​لوړوي.
موخه، ساحه، او مطلوب اوریدونکي
دا سند د دې لپاره رامینځته شوی چې پراختیا کونکو ته وړاندیزونه او وړاندیزونه چمتو کړي ترڅو دوی سره د دوی ایپسونو کې د امنیت دندو پلي کولو کې مرسته وکړي. دا ډول سپارښتنې او وړاندیزونه د پراختیا کونکو سره د سایبر امنیت ګواښونو پراخه پراخه سپیکٹرم په وړاندې کمولو او د دوی ایپسونو د وروستي ګرځنده سکیمونو او ګرځنده مالویر استحصال څخه د ساتنې په برخه کې مرسته کول دي. دلته محتويات غیر پابند دي، د بې باورۍ په اساس چمتو شوي او په طبیعت کې معلوماتي دي، او د دې لپاره ندي چې په بشپړ ډول د احتمالي سایبر امنیت ګواښونه وپیژني او نه هم په بشپړ ډول هغه پروسې یا سیسټمونه مشخص کړي چې پراختیا کونکي یې باید د ورته مخنیوي یا مخنیوي لپاره ځای په ځای کړي. ګواښونه د سیف اپ سټنډرډ لارښودونو او امنیت کنټرولونو نسخه 1 به په عمده ډول د لوړ خطر لرونکي ایپسونو پراختیا کونکو ته د امنیت لارښود چمتو کولو باندې تمرکز وکړي ترڅو د سینګاپور د ګواښ په منظره کې لیدل شوي وروستي ګرځنده مالویر او درغلۍ کارونې سره مقابله وکړي. په هرصورت، دا امنیتي کنټرولونه هم ګټه پورته کولی شي او د نورو ایپسونو لخوا پلي کیدی شي. دا سپارښتنه کیږي چې ټول پراختیا کونکي هڅه وکړي چې د ګرځنده اپلیکیشن امنیت لوړولو لپاره دا اقدامات پلي کړي. که څه هم دا معیار د لومړني تمرکز ساحه لري، راتلونکي تکرارونه به د ټول ګرځنده اپلیکیشن سټیک لپاره د امنیت غوره عملونو او لارښوونو په نښه کولو لپاره پراخ شي.
6

خبرتیا او د پراختیا کونکي لارښود
دا یو ژوندی سند دی چې بیا به تابع شيview او په دوره توګه بیاکتنه. د ډیری نورو تاسیس شویو معیارونو په څیر، د خوندي اپلیکیشن معیار یو ژوندی سند دی چې په منظمه توګه د اوسني او پرمختللي ګواښ منظرې او نوي برید ویکتورونو سره سمون لپاره تازه کیږي. مهرباني وکړئ CSA ته مراجعه وکړئ webسایټ د خوندي اپلیکیشن سټنډرډ وروستي نسخې سره تازه پاتې کیدو لپاره او د هغې مطابق امنیتي تدابیر او کنټرولونه تنظیموي. دا معیار باید په ګډه ولوستل شي او د اپلیکیشن پراختیا کونکو او چمتو کونکو کوم قانوني ، تنظیمي ، یا نور مکلفیتونه او دندې ځای په ځای نکړي ، بدل نه کړي ، یا نه بدلوي ، پشمول د سایبر امنیت قانون 2018 لاندې هغه کسان ، او کوم فرعي قانون ، د عمل کوډونه ، د فعالیت معیارونه، یا د هغې لاندې لیکل شوي لارښوونې. د دې سند کارول او دلته د سپارښتنو پلي کول هم د اپلیکیشن پراختیا کونکي او چمتو کونکي له داسې مکلفیتونو یا دندو څخه معاف یا په اوتومات ډول نه معاف کوي. د دې سند منځپانګې د دې لپاره ندي چې د قانون مستند بیان وي یا د قانوني یا نورو مسلکي مشورې بدیل وي. د خوندي اپلیکیشن معیاري امنیت چوکاټ په اړه د پراختیا کونکي لارښود د کارونې اسانتیا لپاره ، پراختیا کونکي باید په پام کې ونیسي چې د خوندي ایپ معیاري نسخه 1 لاندې مهمې ساحې په نښه کوي ، او سند پخپله په لاندې فرعي برخو ویشل کیدی شي:
· تصدیق · واک ورکول · د معلوماتو ذخیره کول (ډاټا په آرامۍ) · ضد ضدamper & Anti-Reversing دا مهمې ساحې شاملې دي ترڅو د ګرځنده اپلیکیشن امنیت معیاري کولو ډاډ ترلاسه کولو لپاره د خورا عام برید ویکتورونو پروړاندې زموږ په سیمه ایز اکوسیستم کې د ناوړه لوبغاړو لخوا کارول کیږي. د خوندي اپلیکیشن سټنډرډ د ګرځنده ایپس امنیت لوړولو لپاره د امنیت کنټرولونو ، لارښوونو او غوره عملونو روښانه او لنډ سیټ چمتو کوي کوم چې د لوړ خطر لیږد چمتو کوي یا فعالوي.
7

د سند تعریفونه او نورمالي حوالې
د سند تعریفونه لاندې ځینې تعریفونه دي چې پراختیا کونکي او لوستونکي باید په پام کې ونیسي کله چې دوی دا سند کاروي: حساس ډیټا د کارونکي ډیټا لکه د شخصي پیژندلو وړ معلومات (PII) او د تصدیق ډیټا لکه اسناد ، د کوډ کولو کیلي ، یو وخت پاسورډونه ، بایومټریک ډیټا , امنیتي نښې، سندونه او داسې نور. د لوړ خطر لیږدونه هغه دي چې پکې شامل دي:
· په مالي دندو کې بدلونونه ځینې پخوانيampپه دې کې شامل دي مګر د دریمې ډلې تادیه کونکي توضیحاتو راجسټریشن پورې محدود ندي ، د فنډ لیږد محدودیت زیاتوالی ، او داسې نور.
· د مالي راکړو ورکړو پیل ځینې پخوانيamples کې شامل دي مګر د لوړ ارزښت فنډونو لیږد پورې محدود ندي، د لوړ ارزښت فنډ لیږد، آنلاین کارت لیږدونه، مستقیم ډیبټ لاسرسی، د پیسو ذخیره کولو فعالیتونه، او ټاپ اپ، او نور.
· د غوښتنلیک په امنیتي تشکیلاتو کې بدلونونه ځینې پخوانيampپدې کې شامل دي مګر د تصدیق کولو میتودونو غیر فعال کولو پورې محدود ندي ، د ډیجیټل توکیو یا سندونو تازه کول او داسې نور.
د امنیت کنټرول عملیاتي یا تخنیکي اقدامات چې په دې سند کې وړاندیز شوي چې باید د احتمالي امنیتي زیانونو یا پیښو اداره کولو، څارنې او کمولو لپاره پلي شي. دا امنیتي کنټرولونه لاندې IDs لري چې ورسره وصل دي، د بیلګې په توګه، AUTHN-BP01، AUTHOR-BP01، STORAGE-BP01، RESILIENCE-BP01. معیاري حوالې د خوندي اپلیکیشن سټنډرډ د خلاص څخه صنعت معیارونو ته اشاره کوي Web د غوښتنلیک امنیت پروژه (OWASP)، د شبکې او معلوماتو امنیت لپاره د اروپا اتحادیې اداره (ENISA) او د تادیې کارت صنعت ډیټا امنیت معیار (PCI DSS). د حوالې لیست په لاندې ډول دی:
· د OWASP MASVS (د ګرځنده غوښتنلیک امنیت تصدیق معیاري) · د OWASP MASTG (د ګرځنده غوښتنلیک امنیت ازموینې لارښود) · د ENISA د خوندي پراختیا لارښود (SSDG) · د پراختیا کونکو لپاره د PCI DSS د ګرځنده تادیاتو منلو امنیت لارښود
8

9

1. تصدیق کول

پیژندنه
تصدیق د ډیری ګرځنده غوښتنلیکونو لازمي برخه ده. دا غوښتنلیکونه عموما د تصدیق مختلف ډولونه کاروي، پشمول د بایومتریک، PINs، یا د څو فکتور تصدیق کولو کوډ جنریټرونه. ډاډ ترلاسه کول چې د تصدیق کولو میکانیزم خوندي دی او د صنعت غوره عملونو په تعقیب پلي کیږي د کارونکي پیژندنې تصدیق کولو لپاره خورا مهم دی.
د تصدیق لپاره د قوي امنیت کنټرولونو پلي کولو سره ، پراختیا کونکي کولی شي ډاډ ترلاسه کړي چې یوازې تصدیق شوي کارونکي ، پیرودونکي ، غوښتنلیکونه او وسایل کولی شي ځانګړو سرچینو ته لاسرسی ولري یا ځینې کړنې ترسره کړي. د خوندي تصدیق کولو کنټرولونو له لارې ، پراختیا کونکي کولی شي د غیر مجاز معلوماتو لاسرسي خطر هم کم کړي ، د حساس ډیټا بشپړتیا وساتي ، د کارونکي محرمیت وساتي او د لوړ خطر لیږد فعالیتونو بشپړتیا خوندي کړي.
پدې کټګورۍ کې کنټرولونه د تصدیق کولو امنیت کنټرولونو وړاندیز کول دي چې غوښتنلیک باید د حساس معلوماتو خوندي کولو او غیر مجاز لاسرسي مخنیوي لپاره پلي کړي. دا پراختیا کونکو ته د دې امنیت کنټرولونو پلي کولو لپاره اړوند غوره تمرینونه هم ورکوي.
امنیت کنټرولونه

ID

کنټرول

AUTHN-BP01 AUTHN-BP01a AUTHN-BP01b AUTHN-BP01c AUTHN-BP02 AUTHN-BP03 AUTHN-BP03a AUTHN-BP03b AUTHN-BP04 AUTHN-BP05AU

د لوړ خطر لیږدونو تصدیق کولو لپاره ملټي فکتور تصدیق وکاروئ. د MFA فکتورونو څخه د یو څه په توګه یو څه - تاسو پوهیږئ تصدیق پلي کړئ. یو څه پلي کړئ - تاسو - د MFA فکتورونو څخه یو په توګه تصدیق لرئ. د MFA فکتورونو څخه یو په توګه یو څه - تاسو - تصدیق کول پلي کړئ. د تصدیق کولو لپاره د شرایطو پر بنسټ فکتورونه وکاروئ. د خوندي ناستې تصدیق پلي کول. خوندي دولتي تصدیق پلي کړئ. خوندي بې ریاسته تصدیق پلي کړئ. د ننوتلو، غیرفعالیت، یا غوښتنلیک بندیدو پرمهال د خوندي ناستې پای ته رسیدل پلي کړئ. د تصدیق لپاره د وحشي ځواک محافظت پلي کړئ. د راکړې ورکړې بشپړتیا تایید میکانیزم پلي کول.

10

AUTHN-BP01
کنټرول
ایپ د لوړ خطر لیږدونو تصدیق کولو لپاره ملټي فکتور تصدیق (MFA) کاروي.
تفصیل
په دودیز واحد فکتور تصدیق سیسټم کې، کاروونکي عموما یوازې د یو څه-YouKnow1 داخلولو ته اړتیا لري لکه د کارن نومونه او پاسورډونه. که څه هم، که دا واحد فکتور ناکام شي یا جوړجاړی شي، د تصدیق کولو ټوله پروسه د ګواښونو سره مخ ده.
MFA د تصدیق کولو کړنلاره ده چې د هویت تصدیق کولو پرتونه اضافه کوي، چې نه یوازې یو څه-تاسو-پوهیږئ، بلکې یو څه-تاسو-هیو2 او یو څه-تاسو-3 ته اړتیا لري. د MFA پلي کول د ناوړه لوبغاړو لپاره دا خورا ننګونه کوي چې حسابونو سره جوړجاړی وکړي او د تصدیق پروسې عمومي امنیت ته وده ورکړي.
د تطبیق لارښود
پراختیا کونکي باید د ګام پورته MFA وکاروي. دا د MFA یو ځانګړی ډول دی چیرې چې ایپ د تصدیق کولو ستراتیژي شاملوي چې اضافي تصدیق کچې ته اړتیا لري ، په ځانګړي توګه کله چې د لوړ خطر لیږد هڅه کوي.
پراختیا کونکي باید د 1، 2، 3، او 4 په ترتیب کې لاندې MFA ترکیبونو ته لومړیتوب ورکړي، د انتخاب 1 سره د خورا خوندي انتخاب په توګه.

فکتورونه / اختیار یو څه - تاسو - یو څه پوهیږئ - تاسو یې لرئ
· د سافټویر نښه · د هارډویر نښه · SMS OTP یو څه چې تاسو یې یاست

1

2

3

4

1 یو څه چې تاسو پوهیږئ هغه معلوماتو ته اشاره کوي چې کاروونکي یې پیژني، لکه PIN (شخصي پیژندنې شمیره)، پاسورډ، یا نمونه، او نور. د تصدیق سندونه رامینځته کوي ، کوم چې ممکن د وخت پراساس یو وخت پاسورډونه (OTPs) شامل وي. Exampد دې ډول ټوکنونو کې د سافټویر ټوکنونه، هارډویر ټوکنونه، او د SMS OTP شامل دي. 3 یو څه-You-Are د بایومتریک پیژندونکو ته اشاره کوي، چیرې چې د کارونکي ځانګړي فزیکي ځانګړتیاوې د تایید لپاره کارول کیږي، لکه د ګوتو نښې، د ریټینا سکینونه، د مخ پیژندنه، یا غږ پیژندنه.
11

پرمخ وړونکو ته په کلکه مشوره ورکول کیږي چې د لوړ خطر لیږدونو لپاره د تصدیق کولو چینل په توګه په SMS او بریښنالیک OTP باندې تکیه ونه کړي. که دا توان ونلري، نو دا مهمه ده چې د SMS OTP او بریښنالیک OTP سره په ګډه د بایومیټریک فکتور یا اضافي تصدیق کولو فکتور پلي کړئ. د پام وړ شیان
· دا په کلکه سپارښتنه کیږي چې د امکان په صورت کې د شیلف څخه بهر حلونه غوره کړئ. · پراختیا کونکي باید ډاډ ترلاسه کړي چې لږترلږه یو د MFA فکتور د پیرودونکي اړخ کې تصدیق شوی ، د ټولو سره
نور د سرور اړخ کې تایید شوي. په هغه قضیو کې چیرې چې تصدیق د پیرودونکي اړخ کې تایید شوی ، په ځانګړي توګه د Android لپاره ، د باوري اجرا کولو چاپیریال (TEE) پراساس کوډ پلي کړئ. · دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
o د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. ۲۱.
o د OWASP د موبایل اپلیکیشن د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 51، 56. o د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 34، 50. o د ENISA سمارټ فون د خوندي پراختیا لارښوونې (2016)، مخ. 11.
12

د AUTHN-BP01a کنټرول ایپ د MFA فکتورونو څخه یو په توګه د یو څه - تاسو پوهیدل تصدیق پلي کوي. توضیحات یو څه چې تاسو پوهیږئ د هویت تصدیق کولو یو بنسټیز پرت استازیتوب کوي چې پکې یوازې کارونکي ته پیژندل شوي معلومات شامل دي لکه PIN (شخصي پیژندنې شمیره) ، پاسورډ ، نمونه او داسې نور. د یو څه پلي کول - تاسو - د MFA فکتورونو څخه یو په توګه پوهیږئ. د پیژندنې د تایید لومړنۍ کچه چې کاروونکو ته اړتیا لري چې د دوی حسابونو سره تړلي ځانګړي معلومات چمتو کړي. دا د "یو څه - تاسو - پوهیږئ، یو څه - تاسو- لرئ، او یو څه - تاسو- یاست" په اصولو کې یو مهم فاکتور دی چې د هراړخیز او مؤثره څو اړخیز امنیتي ستراتیژۍ سره مرسته کوي. د پلي کولو لارښود پرمخ وړونکي باید د قوي او خوندي پاسورډونو په جوړولو کې لاندې لارښوونې غوره کړي:
· د پاسورډ لږترلږه 12 حروف یا ډیر اوږدوالی ډاډمن کړئ. · د لویو او کوچنیو حروفو، شمیرو او ځانګړو حروفونو مخلوط شامل کړئ چې محدود دي
~`! @#$%^&*()_-+=:؛،.؟ پرمخ وړونکي باید د پټنوم په جوړولو کې عام زیانونه هم وپیژني او مخنیوی یې وکړي:
· د اټکل وړ کلمو، جملو او ترکیبونو له کارولو ډډه وکړئ. · د شخصي توضیحاتو له شاملولو څخه ډډه وکړئ. · له ترتیبي حروفو څخه پاک وساتئ (د بیلګې په توګه، "123456") یا تکرار شوي حروفونه (د بیلګې په توګه، "aaaa"). د یادولو وړ شیان؛ پراختیا کونکي باید یوازې په سازماني شتمنیو کې د اعتبار وړ ګرځیدل پلي کړي یا که شتون نلري
د کارونکي په پای کې د MFA تطبیق، د بیلګې په توګه په کال کې یا د مناسب مهال ویش سره سم بدل شوی. · دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ اسنادو ته مراجعه وکړئ
په دې کې چمتو شوي: o د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، pg. 34. o د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 10.
13

AUTHN-BP01b کنټرول ایپ د MFA فکتورونو څخه یو په توګه یو څه-تاسو-تاسو تصدیق کول پلي کوي. توضیحات یو څه چې تاسو یې لرئ کاروونکو ته اړتیا لري چې د فزیکي وسیلې ، اپلیکیشن یا نښه سره تصدیق وکړي چې د تصدیق سندونه رامینځته کوي ، کوم چې ممکن د وخت پراساس یو وخت پاسورډونه (OTPs) پکې شامل وي. Exampد دې ډول ټوکنونو کې د سافټویر ټوکنونه، هارډویر ټوکنونه، او د SMS OTP شامل دي. د یو څه پلي کول - تاسو - د MFA فکتورونو څخه یو په توګه د تصدیق کولو پروسې کې پیچلتیا اضافه کوي د یو د پام وړ عنصر ملکیت ته اړتیا لري ، د پام وړ د غیر مجاز لاسرسي احتمال کموي. دا د "یو څه - تاسو - پوهیږئ، یو څه - تاسو لرئ، او یو څه - تاسو- یاست" په اصولو کې یو مهم فاکتور دی چې د هراړخیز او مؤثره څو اړخیز امنیتي ستراتیژۍ سره مرسته کوي. د پلي کولو لارښود پرمخ وړونکي باید د سافټویر ټوکنونو ، هارډویر ټوکنونو او SMS OTP لپاره د وخت پراساس OTP وکاروي. لاندې لارښوونې باید تعقیب شي:
· یو OTP باید یوازې د 30s څخه زیات د اعتبار وړ وي. · یو OTP چې د 3 هڅو ​​وروسته په غلطه توګه داخل شوی باید باطل شي، او د کارونکي ناسته
باید لغوه یا رد شي. د پام وړ شیان
· دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ: o د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. ۵۶-۵۷. o د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (56)، مخ. 57، 2021. o د ENISA سمارټ فون د خوندي پراختیا لارښود (50)، مخ. 51.
14

AUTHN-BP01c
کنټرول اپلیکیشن د MFA فکتورونو څخه یو په توګه یو څه - تاسو- یاست تصدیق پلي کوي.
توضیحات یو څه چې تاسو یې یاست کاروونکو ته اړتیا لري چې د بایومټریک پیژندونکو سره تصدیق وکړي لکه د ګوتو نښې ، د ریټینا سکینونه ، یا د مخ پیژندنه. د یو څه پلي کول - تاسو- یاست - د MFA فکتورونو څخه یو خورا شخصي شوی او د تکرار تصدیق کولو فکتور اضافه کوي. دا د یو څه - تاسو - پوهیږئ او یو څه - تاسو - فکتورونو په پرتله د کارونکي پیژندنې تصدیق کولو خورا قوي وسیله چمتو کوي ، د غیر مجاز لاسرسي خطر کموي. دا د "یو څه - تاسو - پوهیږئ، یو څه - تاسو- لرئ، او یو څه - تاسو یاست" په اصولو کې یو مهم فاکتور دی چې د هراړخیز او مؤثره څو اړخیز امنیتي ستراتیژۍ سره مرسته کوي. د پلي کولو لارښود پرمخ وړونکي باید د بایومیټریک پیژندنې باوري پلیټ فارم لکه سنګ پاس په کارولو سره د سرور اړخ بایومیټریک تصدیق پلي کړي. په هرصورت، که دا ممکنه نه وي، پراختیا کونکي باید د وسیلې د باور وړ اجرا کولو چاپیریال (TEEs) میکانیزمونو لکه کریپټو آبجکټ او د Android لپاره د Android یا iOS لپاره کیچین خدماتو لپاره د Android محافظت تصدیق له لارې د پیرودونکي اړخ بایومیټریک تصدیق پلي کړي. د پام وړ شیان
· پرمخ وړونکي باید په هغو وسیلو کې د ایپس فعالیت محدود کړي چې د هارډویر اعتبار لرونکي اجرا شوي چاپیریال (TEE) یا بایومیټریک نلري. د مثال لپارهampد Android وسیلې چې د TEE نشتوالی لري د "isInsideSecureHardware" Android API په کارولو سره کشف کیدی شي.
· پرمخ وړونکي باید د بایومټریک تصدیق باطل کړي که چیرې د بایومیټریک میکانیزم کې بدلون رامینځته شي ، لکه په وسیله کې د نوي ګوتو نښان ثبتول. دواړه iOS او Android پلیټ فارمونه د داسې بدلونونو په ځواب کې د پای ته رسیدو لپاره د اپلیکیشن کریپټو کیلي تنظیم کولو ملاتړ کوي.
· دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ: o د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. 227233، 422-426. o د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 51. o د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۱۱، ۲۶.
15

AUTHN-BP02
کنټرول ایپ د تصدیق کولو لپاره د شرایطو پراساس فکتورونه کاروي. توضیحات د شرایطو پراساس فکتورونه متحرک عناصر معرفي کوي لکه د کارونکي موقعیت او د وسیلې ځانګړتیاوې. پداسې حال کې چې MFA د ډیری تصدیق کولو فاکتورونو ته اړتیا سره د امنیت قوي طبقه چمتو کوي ، د شرایطو پراساس فکتورونو شاملول د تصدیق کولو خورا پراخه او تطابق پروسه رامینځته کوي چې کولی شي د غیر مجاز لاسرسي رامینځته شوي خطرونو په نښه کولو کې اضافي ګټې وړاندې کړي. د شرایطو پر بنسټ د فکتورونو پلي کول په جامد اعتبار باندې تکیه کموي، دا د ناوړه لوبغاړو لپاره د غیر مجاز لاسرسي هڅه کول خورا ننګونکي کوي. د پلي کولو لارښود پرمخ وړونکي باید د کارونکي د هویت تصدیق کولو لپاره لاندې شرایط عوامل په پام کې ونیسي:
جغرافیه ځای: د GPS، Wi-Fi، یا IP پته جغرافیه په کارولو سره د وسیلې د ریښتیني نړۍ موقعیت پراساس لاسرسي ته اجازه ورکړئ.
· د وسیلې ډول: د وسیلې د ځانګړتیاو پراساس لاسرسي ته اجازه ورکړئ. د مثال په توګه د سکرین اندازه کولی شي معلومه کړي چې ایا وسیله سمارټ فون یا ټابلیټ دی.
د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 56، 58. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 11.
16

AUTHN-BP03
کنټرول ایپ د خوندي ناستې تصدیق پلي کوي. توضیحات د خوندي ناستې تصدیق د دواړو دولتي او بې ریاسته تصدیقونو لپاره قوي سیشن مدیریت تضمینوي. په کمزوري ډول اداره شوي ناستې، پرته له دې چې ایپ د ریاستي 4 یا بې ریاسته 5 تصدیق کولو میتودونه تعقیب کړي، کولی شي امنیتي ګواښونو ته الر پیدا کړي لکه غیر مجاز لاسرسی، د غونډې برمته کول، یا د معلوماتو سرغړونې. د دولتي غونډو لپاره د خوندي سیشن تصدیق پلي کول د غیر مجاز لاسرسي مخنیوي لپاره د خوندي ناستې پیژندونکي ، کوډ شوي اړیکې او مناسب وخت پای ته رسوي. د بې ریاسته تصدیق لپاره، دا ډاډ ورکوي چې ټوکنونه ديamper-مقاومت، د تصدیق بشپړتیا ساتل پرته له دې چې د سرور اړخ ذخیره کولو تکیه وکړي. د پلي کولو لارښود پراختیا کونکي باید د غونډو لپاره د ریاستي (AUTHN-BP03a) او بې ریاست (AUTHN-BP03b) تصدیق کولو میتودونو لپاره د لاندې غوره تمرینونو په خپلولو سره د خوندي ناستې تصدیق پلي کړي. د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 51-55. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 51. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 10.
4 ریاستي تصدیق د سرور اړخ کې د ناستې ریاستونو مدیریت ته اشاره کوي ، په ځانګړي توګه د سیشن پیژندونکو کارولو ته اړتیا لري. 5 بې ریاسته تصدیق د سرور اړخ کې د کارونکي پورې اړوند معلوماتو ذخیره کولو پرته د غونډو مدیریت ته اشاره کوي.
17

AUTHN-BP03a کنټرول ایپ د خوندي دولتي تصدیق پلي کوي. توضیحات خوندي ریاستي تصدیق کې د دوامداره غونډو ساتنه او ساتل شامل دي. پداسې حال کې چې دولتي تصدیق د دوامداره کارونکي غونډو له لارې بې سیمه کارونکي تجربه چمتو کوي ، دا د مختلف امنیت ګواښونو لپاره زیان منونکي کیدی شي ، لکه ناوړه لوبغاړي هڅه کوي د ناستې پیژندونکي غلا کړي. د خوندي دولتي تصدیق پلي کول د کارونکي حسابونه د غیر مجاز لاسرسي او احتمالي زیانونو څخه ساتي چې د سیشن مدیریت پورې تړاو لري پرته له دې چې د کارونې او امنیت ترمینځ توازن رامینځته کړي. د پلي کولو لارښود پراختیا کونکي باید د سرور اړخ پای ټکي وپیژني کوم چې حساس معلومات یا مهم فعالیت افشا کوي. پراختیا کونکي باید د لاندې دولتي ناستې تصدیق کولو غوره عملونه هم غوره کړي:
· د ورک شوي یا ناسم سیشن IDs یا ټیکونو سره غوښتنې رد کړئ. · د سیشن IDs په تصادفي ډول د سرور اړخ کې پرته له ضمیمه کولو څخه رامینځته کړئ URLs. · د مناسب اوږدوالی او انټروپي سره د سیشن IDs امنیت لوړ کړئ، اټکل کول ستونزمن کوي. · یوازې د خوندي HTTPS اړیکو له لارې د ناستې IDs تبادله کړئ. · په دوامداره ذخیره کې د سیشن IDs ذخیره کولو څخه ډډه وکړئ. · د امتیاز لرونکي ایپ عناصرو ته د کارونکي لاسرسي لپاره د سیشن IDs تایید کړئ. · د سرور اړخ کې ناستې پای ته ورسوئ، د مهال ویش یا ننوتلو په وخت کې د ناستې معلومات حذف کړئ. د یادولو وړ شیان که په شک کې وي، د باور وړ تصدیق پلیټ فارمونو او پروتوکولونو کارولو ته پام وکړئ. دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ: · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. ۵۲.
18

AUTHN-BP03b کنټرول اپلیکیشن د خوندي بې ریاست تصدیق پلي کوي. توضیحات خوندي بې ریاسته تصدیق کې د مؤثره او د توزیع وړ تصدیق لپاره خوندي توکین عملونه شامل دي. په داسې حال کې چې بې ریاسته تصدیق ګټې وړاندې کوي، دا د امنیتي ګواښونو لکه د کارونکي تقلید ته ډیر زیان رسولی شي که چیرې ټوکنونه په خوندي توګه تولید، لیږدول او زیرمه شوي نه وي. د خوندي بې ریاست تصدیق پلي کول ډاډ ورکوي چې د هر تصدیق نښه په خوندي ډول اداره کیږي پداسې حال کې چې د موثریت او توزیع کولو ګټې ترلاسه کوي ، د غیر مجاز لاسرسي خطر کموي. د پلي کولو لارښود پرمخ وړونکي باید لاندې بې ریاسته ناستې تصدیق کولو غوره عملونه غوره کړي:
· پرته له دې چې دوی ته ضمیمه کړئ د سرور اړخ کې ټوکنونه رامینځته کړئ URLs. · د مناسب اوږدوالی او انټروپي سره د ټوکن امنیت لوړ کړئ، اټکل کول ستونزمن کوي. · یوازې د خوندي HTTPS اتصالونو له لارې ټوکن تبادله کړئ. · تایید کړئ چې هیڅ حساس معلومات، لکه PII، په ټوکنونو کې ځای پرځای شوي ندي. · په دوامداره ذخیره کې د ټوکنونو ذخیره کولو څخه ډډه وکړئ. · د امتیاز لرونکي اپلیکیشن عناصرو ته د کارونکي لاسرسي لپاره ټوکن تصدیق کړئ. · د سرور لوري ته ټوکنونه ختم کړئ، د وخت پای یا لاګ آوټ په وخت کې د ټوکن معلومات حذف کړئ. · د خوندي الګوریتم په کارولو سره په کریپټوګرافیک ډول نښې لاسلیک کړئ ، د غیر الګوریتم کارولو څخه مخنیوی وکړئ. د یادولو وړ شیان · که په شک کې وي، د باور وړ تصدیق پلیټ فارمونو او پروتوکولونو کارولو ته پام وکړئ. · دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ اسنادو ته مراجعه وکړئ
په دې کې چمتو شوي: o د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. 52-53.
19

AUTHN-BP04
کنټرول ایپ د ننوتلو، غیر فعالیت یا ایپ بندیدو پرمهال د خوندي ناستې پای ته رسیدو پلي کوي. توضیحات د خوندي ناستې پای ته رسیدل د کارونکي غونډو مؤثره بندول ډاډمن کوي. په سناریو ګانو کې لکه د ننوتلو، غیر فعالیت، یا د اپلیکیشن تړلو سناریوګانو کې، د ناوړه لوبغاړو لپاره احتمال شتون لري چې د هر ډول اوږدمهاله لاسرسي نقطو څخه ګټه پورته کړي که چیرې ناستې په سمه توګه اداره نشي. د ننوتلو، غیرفعالیت یا اپلیکیشن بندیدو پرمهال د خوندي ناستې پای ته رسیدو پلي کول کولی شي د غیر مجاز لاسرسي خطر د پام وړ کم کړي د کارونکي ناستې په اوتومات ډول پای ته رسولو او د غیر مجاز اړخونو لخوا د کارونکي معلوماتو خوندي کولو سره. د پلي کولو لارښود پراختیا کونکي باید د ننوتلو ، اپلیکیشن غیر فعالیت ، بې کارۍ ، شالید کولو ، د بشپړ ناستې وخت پای ته رسیدو ، یا ناڅاپي / ځواک بندیدو وروسته کارونکي بیا تصدیق کړي. پراختیا کونکي باید په سرور کې نوي سیشن پیژندونکي هم رامینځته کړي کله چې کاروونکي د نوي تصدیق کچې ته حرکت وکړي ترڅو د سیشن فکسیشن مخه ونیسي. د پام وړ شیان
· پراختیا کونکي باید ډاډ ترلاسه کړي چې د ناستې پای ته رسیدو کې د ځایی زیرمه شوي ټولو توکیو یا سیشن پیژندونکو پاکول یا غیر مجاز کول شامل دي.
· پراختیا کونکي باید د مالي خدماتو د خطر او ماهیت پراساس د غیر فعال وخت پای ارزښت وټاکي.
· دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ: o د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. 55-56، 58. o د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 51. o د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 11.
20

AUTHN-BP05
کنټرول ایپ د تصدیق لپاره د وحشي ځواک محافظت پلي کوي. توضیحات د وحشي ځواک بریدونو کې د کارونکي اعتبار اټکل کولو اتوماتیک او سیستماتیک هڅې شاملې دي ، د مثال لپارهampد غیر مجاز لاسرسي ترلاسه کولو لپاره د کارونکي نومونو او پاسورډونو مختلف ترکیبونو هڅه کولو سره. د وحشي ځواک محافظت د یوې ټاکلې مودې دننه د ننوتلو هڅو شمیر محدودوي. د تصدیق لپاره د وحشي ځواک محافظت پلي کول کولی شي د پام وړ غیر مجاز لاسرسي خطر کم کړي ، د کارونکي حسابونو ساتنه وکړي او د تصدیق پروسې بشپړتیا وساتي. د پلي کولو لارښود پراختیا کونکي باید د لاندې غوره کړنو له لارې د وحشي ځواک میکانیزمونه پلي کړي:
· د اتومات ضد چکونو پلي کول. · د ننوتلو هڅو لپاره د نرخ محدودیت پلي کړئ. · د پرمختللی زیاتیدونکي وخت ځنډونه شامل کړئ (د بیلګې په توګه 30 ثانیې، 1 دقیقې، 2 دقیقې، 5
دقیقې) د ننوتلو هڅو لپاره. · د حساب بندول پلي کول. د یادولو وړ شیان؛ پراختیا کونکي باید یادونه وکړي چې د MFA ټول میکانیزمونه د وحشي ځواک لپاره زیان منونکي دي. · پراختیا کونکي باید د حساب بندیدو لاملونه وړاندې کړي او د لاسرسي وړ وسیلې چمتو کړي
د کاروونکو لپاره چې خپل ځان تصدیق کړي او تالاشۍ لرې کړي. Exampپه دې کې د هیلپ لاین زنګ وهل یا د بایومتریک تصدیق کارول شامل دي. · دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
o د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۱۰، ۱۶.
21

AUTHN-BP06
کنټرول ایپ د لیږد بشپړتیا تایید میکانیزم پلي کوي. توضیحات پداسې حال کې چې تصدیق د کارونکي پیژندنه تضمینوي ، دا د لیږد پروسې په جریان کې د درغلیو فعالیتونو احتمال له مینځه وړي. د راکړې ورکړې بشپړتیا تایید میکانیزمونه مرستندویه امنیتي دندې دي چې کاروونکو ته وخت او وسایل ورکوي چې احتمالي درغلیو ته غبرګون وښيي. د راکړې ورکړې د بشپړتیا تصدیق کولو میکانیزم پلي کول دا یقیني کوي چې هره معامله د هغې د دقت او اعتبار تصدیق کولو لپاره په بشپړ ډول تفتیش کیږي. د پلي کولو لارښود پرمخ وړونکي کولی شي لاندې وړاندیز شوي غوره عملونه پلي کړي:
· د راکړې ورکړې تصدیق/تصدیق کال پیل کړئ. · د ریښتیني وخت د راکړې ورکړې تاریخ چمتو کړئ. د 12 ساعتونو څخه تر 24 ساعتونو پورې د یخ کولو موده پلي کړئ. · د ډیفالټ په واسطه بهرنۍ راکړې ورکړې غیر فعال کړئ؛ یوازې د MFA له لارې فعال کړئ. د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ: · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. ۵۷-۵۸.
22

23

2. واک ورکول

پیژندنه
د جواز امنیت د تصدیق امنیت سره په ګډه کار کوي. په ګرځنده ایپسونو کې د واک ورکولو امنیت د دفاع یوه مهمه کرښه ده ځکه چې دا په ګوته کوي چې څوک کولی شي په اپلیکیشن کې کومو سرچینو ته لاسرسی ومومي. دا سیستماتیک کنټرولونه رامینځته کوي او په اپلیکیشن کې د کارونکي لاسرسي حقونه تاییدوي.
پراختیا کونکي کولی شي ډاډ ترلاسه کړي چې یوازې مجاز کارونکي ، پیرودونکي ، ایپسونه او وسیلې کولی شي ځانګړي سرچینو ته لاسرسی ومومي یا د قوي واک کنټرولونو او واک ورکولو تنظیمونو پلي کولو سره ځینې کړنې ترسره کړي. د واک ورکولو کنټرولونو له لارې ، پراختیا کونکي کولی شي د غیر مجاز معلوماتو لاسرسي خطر هم کم کړي ، د حساس ډیټا بشپړتیا وساتي ، د کارونکي محرمیت وساتي او د لوړ خطر لیږد فعالیت بشپړتیا خوندي کړي. که څه هم د دې میکانیزمونو پلي کول باید په لیرې پرتو نقطه کې وي، دا د پیرودونکي اړخ ایپ لپاره مساوي مهم دی چې اړونده غوره کړنې تعقیب کړي ترڅو د ښکیل واک پروتوکولونو خوندي کارونې ډاډ ترلاسه کړي.
په دې کټګورۍ کې کنټرولونه د جواز امنیت کنټرولونه وړاندې کوي چې ایپ باید د حساس ډیټا خوندي کولو او غیر مجاز لاسرسي مخنیوي لپاره پلي کړي. دا پراختیا کونکو ته د دې امنیتي کنټرولونو پلي کولو څرنګوالي اړوند غوره تمرینونه هم ورکوي.
امنیت کنټرولونه

ID

کنټرول

AUTHOR-BP01 د سرور اړخ اجازه پلي کول.

AUTHOR-BP02 د وسیلې پابندۍ له لارې د پیرودونکي اړخ واک پلي کول.

AUTHOR-BP03 کاروونکو ته د ټولو اړینو اجازو خبر ورکړئ مخکې لدې چې دوی د ایپ کارول پیل کړي.

لیکوال-BP04

کاروونکو ته د ټولو لوړ خطر لیږدونو لپاره خبر ورکړئ کوم چې اختیار شوي او بشپړ شوي.

24

لیکوال-BP01
کنټرول ایپ د سرور اړخ اجازه پلي کوي. توضیحات د سرور اړخ اختیار د سرور یا د اختیار ورکولو سرور لخوا کاروونکو یا ایپسونو ته د لاسرسي اجازه تایید او ورکول ته اشاره کوي. دا ډاډ ورکوي چې د لاسرسي کنټرول پریکړې او اجازې د پیرودونکي پرځای د سرور اړخ کې اداره کیږي او پلي کیږي. د سرور اړخ واک په پلي کولو سره، پراختیا کونکي د ناوړه برید کونکو لپاره فرصتونه کمويampحساس ډیټا (د بیلګې په توګه PIIs او تصدیق کولو ډیټا) ته د غیر مجاز لاسرسي ترلاسه کولو لپاره په اپلیکیشن کې د امنیتي اقداماتو مخه ونیسئ. د پلي کولو لارښود پرمخ وړونکي باید د لاسرسي اجازه ورکولو دمخه د بریا تصدیق کولو وروسته د سرور اړخ اختیار پلي کړي. پراختیا کونکي باید ډاډ ترلاسه کړي چې کاروونکو ته د لاندې پراساس لاسرسی ورکړل شوی:
· د اجازې سره ټاکل شوی رول: ډاډ ترلاسه کړئ چې کاروونکي کولی شي یوازې د دوی مسؤلیتونو پورې اړوند دندې ترسره کړي.
· اړونده عوامل: د لاسرسي متحرک سناریوګانې لکه د لاسرسي وخت او د چلند تحلیل.
د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 50-55، 58. · د PCI ګرځنده تادیاتو منلو امنیت لارښوونې v2.0.0 (2017)، مخ. 10. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 10-11.
25

لیکوال-BP02
کنټرول ایپ د وسیلې پابندۍ له لارې د پیرودونکي اړخ واک پلي کوي.
تفصیل
د پیرودونکي اړخ اجازه د ګرځنده ایپ دننه د لاسرسي اجازې اداره کولو پروسه ده. دا خطرناک دی ځکه چې د پیرودونکي اړخ باندې تکیه کول کولی شي غوښتنلیکونه زیانمننې لکه غیر مجاز لاسرسي او احتمالي درغلۍ ته افشا کړي.
که چیرې د اپلیکیشن سوداګریزې دندې (د بیلګې په توګه، د سافټویر ټیکونو انسټاګرام) د پیرودونکي اړخ اجازه لیکونو ته اړتیا ولري، د وسیلې پابندۍ (یو امنیتي تمرین چې په ځانګړي وسیله کې امتیازاتو ته د لاسرسي لپاره اجازه لیکونه شریکوي) سپارښتنه کیږي. د وسیلې پابندۍ پلي کولو سره ، ایپس کولی شي د وسیلې پیژندنه تصدیق کړي او باور رامینځته کړي. دا د غیر مجاز لاسرسي سره تړلي خطرونه کموي او د وسیلو ، ایپسونو او سرورونو ترمینځ خوندي ، باوري لاره ساتي.
د تطبیق لارښود
پراختیا کونکي باید د ایپس او وسیلې ترمینځ پابندۍ رامینځته کړي کله چې د کارونکي پیژندنه د لومړي ځل لپاره په غیر راجسټر شوي ګرځنده وسیله کې کارول کیږي.
پراختیا کونکي باید دا هم تایید کړي چې ایپسونه:
· د تیر وخت راهیسې په وسیله کې د بدلونونو لپاره وګورئ. · د وسیلې پیژندنې مارکرونو کې د بدلونونو لپاره وګورئ. · وګورئ چې هغه وسیله چې اپلیکیشن چلوي په خوندي حالت کې دی (د بیلګې په توګه جیل ماتول یا ریټ کول). پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرین تخنیکونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا تخنیکونه ممکن زاړه شي. د ورته په څیر ، پراختیا کونکي باید د وسیلې پابندۍ تصدیق کولو لپاره د وروستي صنعت غوره کړنو سره نږدې وساتي. د پام وړ شیان
په Android وسیلو کې د وسیلې تصدیق کولو لپاره ، پراختیا کونکي کولی شي:
· ځانګړي پیژندونکي لکه IMEI یا Android ID ترلاسه کړئ. · د جوړیدو معلومات بیرته ترلاسه کړئ. · د اصلي OS API ځانګړتیاو څخه ګټه پورته کړئ، لکه د ګوګل SafetyNet.
په iOS وسیلو کې د وسیلې تصدیق کولو لپاره ، پراختیا کونکي کولی شي:
· د اصلي OS خدماتو څخه ګټه پورته کړئ، لکه د ایپل وسیله ID د UIDevice له لارې.
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 316-317، 516. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. ۵۱، ۵۶.
26

لیکوال-BP03
کنټرول اپلیکیشن کاروونکو ته د ټولو اړینو اجازو خبر ورکوي مخکې لدې چې دوی د ایپ کارول پیل کړي. توضیحات اړین اجازې ځانګړي حقونه او وړتیاوې دي چې ایپ یې د ګرځنده وسیلې څخه غوښتنه کوي. دا اجازې تعریفوي چې کوم سرچینې یا فعالیت ایپ د کاروونکو وسیلو ته لاسرسی کولی شي. ځینې ​​پخوانيampپه کې شامل دي، مګر محدود ندي، کیمرې، مایکروفون، موقعیت، او نور. د مناسبو خبرتیاو په پلي کولو سره چې کاروونکو ته خبر ورکوي چې کوم اجازې غوښتل کیږي، پراختیا کونکي کولی شي کاروونکو ته په ناپوهۍ سره د ډیرو اجازو ورکولو مخه ونیسي، کوم چې ممکن ناوړه لوبغاړو ته اجازه ورکړي چې د زیانونو څخه ګټه پورته کړي. او حساس معلومات غلا کړئ (د بیلګې په توګه PIIs او د تصدیق ډاټا). دا ډول خبرتیاوې به کاروونکو ته اجازه ورکړي چې د هغه ایپسونو په اړه باخبره پریکړې وکړي چې دوی یې نصبوي. د پلي کولو لارښود پرمخ وړونکي باید په ایپ کې (ان-ایپ) خبرتیاوې وکاروي ترڅو کاروونکو ته د لاسرسي اجازې غوښتنه وکړي. پراختیا کونکي باید دا هم ډاډه کړي چې خبرتیاوې / خبرتیاوې حساس معلومات نه ښیې. د یادولو وړ شیان پرمخ وړونکي باید یوازې د اپلیکیشن فعالیت لپاره لازمي اجازې غوښتنه وکړي. دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 56، 58. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 8، 18، 28. · د محرمیت په اړه د ایپل پراختیا کونکي لارښود، https://developer.apple.com/design/human-interface-
لارښود / محرمیت (جنوري 2024). · د محرمیت په اړه د Android پراختیا کونکي لارښود، https://developer.android.com/quality/privacy-and-
امنیت (جنوري 2024).
27

لیکوال-BP04
کنټرول اپلیکیشن کاروونکو ته د ټولو لوړ خطر لیږدونو لپاره خبر ورکوي چې مجاز او بشپړ شوي.
توضیحات که چیرې یو اپلیکیشن د لوړ خطر لیږد فعالیت ولري ، نو کارونکي باید سمدلاسه خبر شي کله چې د لیږد اجازه ورکړل شوې او بشپړه شوې. د دې کنټرول په پلي کولو سره، پراختیا کونکي کولی شي ډاډ ترلاسه کړي چې کاروونکي سمدلاسه خبر شي کله چې د لوړ خطر لیږد اجازه ورکړل شوې او بشپړه شوې وي ترڅو دوی وکوالی شي ژر تر ژره احتمالي درغلۍ معاملې وپیژني.
د پلي کولو لارښود پراختیا کونکي باید د کارونکي خبرتیا لپاره لاندې میتودونه غوره کړي:
· په غوښتنلیک کې (په اپلیکیشن کې) خبرتیاوې. · د بریښنالیک خبرتیاوې. · د لنډ پیغام خدمت (SMS) خبرتیاوې. پراختیا کونکي باید دا هم ډاډه کړي چې خبرتیاوې / خبرتیاوې حساس معلومات نه ښیې.
پورته یوازې ځینې پخواني ديampد غوره تمرین کولو خبرتیا تخنیکونه چې د صنعت لخوا کارول کیږي. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا تخنیکونه ممکن زاړه شي. د ورته په څیر، پراختیا کونکي باید د وروستي صنعت غوره کړنو سره نږدې وساتي ترڅو کاروونکو ته د لوړ خطر لیږد مجاز او بشپړ شوي خبر ورکړي.
د یادولو وړ شیان پرمخ وړونکي باید د اپلیکیشن فعالیت لپاره یوازې د لازمي اجازې غوښتنه وکړي.
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 52. · د PCI ګرځنده تادیاتو منلو امنیت لارښوونې v2.0.0 (2017)، مخ. 10. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 8. · د محرمیت په اړه د ایپل پراختیا کونکي لارښود، https://developer.apple.com/design/human-interface-
لارښود / محرمیت (جنوري 2024). · د محرمیت په اړه د Android پراختیا کونکي لارښود، https://developer.android.com/quality/privacy-and-
امنیت (جنوري 2024).
28

29

3. د معلوماتو ذخیره کول (په آرامۍ کې ډاټا)

پیژندنه
د ډیټا په آرامۍ کې د ډیټا ذخیره کولو امنیت د حساس ډیټا (د بیلګې په توګه د PIIs او تصدیق کولو ډیټا) د بشپړتیا او محرمیت خوندي کولو پورې اړه لري چې په محلي ډول د پیرودونکي اړخ وسیلې او ایپ سرور سایډ کې زیرمه شوي کله چې دا په فعاله توګه نه کارول کیږي یا لیږدول کیږي. پدې کې غوره عملونه، محافظتي اقدامات او د کوډ کولو تخنیکونه شامل دي چې په ډیټابیسونو کې ذخیره شوي ډاټا خوندي کولو لپاره ګمارل شوي، files، کیچونه، حافظه، او د باور وړ اجرایی چاپیریال (TEE) په ګرځنده وسیلو او ورته ساحو کې د ایپ سرورونو کې.
پراختیا کونکي کولی شي ډاډ ترلاسه کړي چې د کارونکي ډیټا په آرام کې د ډیټا ذخیره کولو لپاره د قوي امنیت کنټرولونو پلي کولو سره ساتل کیږي او خوندي کیږي. د ډیټا په آرامۍ کې مناسب کنټرولونه دا هم ډاډه کوي چې ایپ کولی شي د غیر مجاز لاسرسي خطرونه کم کړي ، د وسیلې جوړجاړی ، احتمالي ډیټا سرغړونې ، او ډیټا لیکونه او د ایپ دفاع قوي کړي.
لاندې کنټرولونه ډاډ ورکوي چې د ایپ لخوا په قصدي ډول زیرمه شوي کوم حساس معلومات په مناسب ډول خوندي دي ، پرته لدې چې هدف ځای په پام کې ونیول شي. دا د APIs یا سیسټم وړتیاو ناسم کارولو له امله غیر ارادي لیکونه هم پوښي.
امنیت کنټرولونه

ID

کنټرول

STORAGE-BP01 حساس معلومات ذخیره کړئ چې یوازې د معاملو لپاره اړین دي.

STORAGE-BP02 د حساسو معلوماتو خوندي ذخیره پلي کول.

STORAGE-BP02a حساس معلومات په خوندي ډول د سرور اړخ کې ذخیره کړئ.

STORAGE-BP02b

حساس معلومات د اعتبار وړ اجرا کولو چاپیریال (TEE) کې د پیرودونکي اړخ ته په خوندي ډول ذخیره کړئ.

STORAGE-BP03 حساس معلومات حذف کړئ کله چې نور اړتیا نه وي.

30

STORAGE-BP01
کنټرول ایپ حساس معلومات ذخیره کوي چې یوازې د معاملو لپاره اړین دي. توضیحات حساس ډیټا د کارونکي ډیټا (PIIs) او تصدیق کولو ډیټا په توګه تعریف شوي (د بیلګې په توګه ، سندونه ، د کوډ کولو کیلي ، او نور) پراختیا کونکي باید یوازې هغه حساس ډیټا ذخیره کړي چې د ایپ سوداګرۍ کارونو لپاره اړین وي. د غیر ضروري معلوماتو راټولول د احتمالي امنیتي سرغړونو اغیزې ډیروي، یو اپلیکیشن د ناوړه لوبغاړو لپاره په زړه پوري هدف جوړوي. د دې امنیتي کنټرول په پلي کولو سره، پراختیا کونکي کولی شي ډاډ ترلاسه کړي چې افشا کول د ځانګړو سوداګریزو دندو لپاره اړین ډیټا پورې محدود دي، د غیر مجاز لاسرسي یا ډیټا سرغړونو په صورت کې اغیز کموي. د پلي کولو لارښود پراختیا کونکي باید د ادارې حساسیت کچې او د قانوني قانون اړتیاو پراساس د ایپ لخوا کارول شوي ډیټا طبقه بندي کړي. پرمخ وړونکي باید د معلوماتو خوندي کولو لپاره لاندې لارښوونې غوره کړي چې د حساس په توګه طبقه بندي شوي:
1. د پیرودونکي اړخ/سرور اړخ کې د حساسیت پراساس د خوندي ذخیره کولو حل پلي کړئ. 2. د معلوماتو محافظت اقدامات پلي کړئ (د بیلګې په توګه د توکیینز کول، د مالګې سره هش کول، کوډ کول) 3. حساس معلومات حذف کړئ کله چې نور اړتیا نه وي. د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ: · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، pg. 190, 398. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 9-10, 36, 38. · د ENISA سمارټ فون خوندي پرمختیا لارښود (2016)، مخ. 6.
31

STORAGE-BP02
کنټرول ایپ د حساسو معلوماتو خوندي ذخیره پلي کوي. توضیحات د ګرځنده ایپسونو لپاره خوندي ذخیره د ګرځنده وسیلو او ایپ سرورونو کې زیرمه شوي حساس ډیټا د غیر مجاز لاسرسي ، غلا یا T څخه ساتلو لپاره تخنیکونو او تمرینونو پلي کولو ته اشاره کوي.ampering پدې کې غوره تمرینونه شامل دي لکه کوډ کول، هش کول، ټوکنیزیشن، او د لاسرسي مناسب کنټرولونه. د خوندي ذخیره کولو پلي کولو سره، پراختیا کونکي کولی شي د غیر مجاز لاسرسي، د وسیلې جوړجاړی، د احتمالي معلوماتو سرغړونو او د معلوماتو لیکونو په وړاندې کم کړي. د پلي کولو لارښود پراختیا کونکي باید د خوندي ذخیره کولو حل پلي کړي چې د معلوماتو حساسیت سره مطابقت ولري. پراختیا کونکي باید د خوندي ذخیره کولو حل لپاره لاندې ترتیب ته هم لومړیتوب ورکړي (له خورا حساس ډیټا څخه تر لږترلږه حساس معلوماتو پورې):
1. د سرور اړخ (ټول حساس معلومات باید د سرور اړخ کې زیرمه شي). 2. د اعتبار وړ اجرا کولو چاپیریال کې د پیرودونکي اړخ (په هغه حالت کې چې د سرور اړخ نه وي
ممکنه وي، ټول حساس معلومات د مراجعینو اړخ TEE کې ذخیره کړئ). د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 17-18. · د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 190-203، 398-
406. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 06-07
32

STORAGE-BP02a
کنټرول
ایپ حساس معلومات په خوندي ډول د سرور اړخ کې ساتي.
تفصیل
په سرور اړخ کې د حساسو معلوماتو ذخیره کول په ریموټ ایپ سرورونو یا ډیټابیسونو کې د معلوماتو ذخیره کولو ته اشاره کوي. دا ډول چلند د غیر مجاز لاسرسي یا سرغړونو څخه ډیټا خوندي کولو لپاره غوره چاپیریال رامینځته کوي ، د لا ډیر خوندي لاسرسي کنټرول وړ کول ، د غوره امنیتي اقداماتو پلي کولو اختیارونه لکه ډیر پیچلي کوډونه او د ګړندي امنیت تازه کولو احکام.
د حساس ډیټا د سرور اړخ ذخیره کولو پلي کولو سره ، پراختیا کونکي کولی شي د پیرودونکي اړخ ډیټا ذخیره کولو اصلي خطرونو پروړاندې کم کړي ، ځکه چې د پیرودونکي اړخ ذخیره په طبیعي ډول د ډیټا ذخیره کولو استخراج تخنیکونو ته ډیر حساس دی چې معمولا په ګرځنده سکیمونو کې د ناوړه لوبغاړو لخوا کارول کیږي.
د تطبیق لارښود
پراختیا کونکي باید لږترلږه د لاندې معلوماتو محافظت اقداماتو څخه 1 پلي کړي:
1. یوازې د پاسورډونو لپاره، پراختیا کونکي کولی شي د مالټ6 سره هشنګ وکاروي. د ریښتیني پاسورډونو ذخیره کولو پرځای ، ځانګړي مالګې رامینځته کیږي او د پاسورډونو سره یوځای کیږي ، مالګه شوي هشونه رامینځته کوي.
2. پراختیا کونکي کولی شي د کوډ کولو معیارونو لکه AES-7 سره 128 حساس معلومات کوډ کړي. 3. پرمخ وړونکي کولی شي د توکینیزیشن 8 د ځان اداره شوي ټوکنیزیشن یا د توکینیزیشن سره پلي کړي
خدمت، د امکان په صورت کې د ټکنونو سره حساس ډیټا بدلول. برسېره پردې، پراختیا کونکي باید ډاډ ترلاسه کړي چې ټوکنیزیشن د کافي اوږدوالي او پیچلتیا څخه دی (د خوندي کریپټوګرافي لخوا ملاتړ شوی) د معلوماتو حساسیت او سوداګرۍ اړتیاو پراساس.
پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرینونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا غوره کړنې ممکن تاریخي شي. د ورته په څیر، پراختیا کونکي باید د وروستي صنعت غوره عملونو سره مخ شي ترڅو حساس معلومات په سرور اړخ کې خوندي کړي.
د پام وړ شیان
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. ۱۹-۲۰. · د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v19 (20)، مخ. 1.7.0-2023, 71-77,
416-421. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 30, 36-37, 39. · د PCI ګرځنده تادیاتو منلو امنیت لارښود v2.0.0 (2017), مخ. 9. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۶-۹.
6 د مالګې سره هش کول د امنیت اضافي پرت اضافه کولو لپاره کارول کیږي چې دا د کمپیوټري پلوه د برید کونکو لپاره خورا قوي کوي ترڅو اصلي حساس معلومات وپیژندل شي. د پټنوم ذخیره کولو یا د کلیدي اخذ کولو په شرایطو کې، پراختیا کونکي باید د یو طرفه کلیدي اخذ کولو افعال یا سست هش الګوریتمونه وکاروي، لکه PBKDF2، bcrypt، یا سکریپټ. 7 کوډ کول د معلوماتو د نه لوستلو وړ شکل ته د بدلولو لپاره کارول کیږي، دا ډاډه کوي چې حتی که له اجازې پرته لاسرسی ومومي، حساس معلومات محرم پاتې کیږي. 8 ټوکنیزیشن د حساسو معلوماتو د ځای په ځای کولو لپاره کارول کیږي ترڅو د حساس معلوماتو افشا کیدو خطر کم کړي.
33

STORAGE-BP02b
کنټرول
ایپ حساس معلومات په خوندي ډول د پیرودونکي اړخ ته په باوري اجرایوي چاپیریال (TEE) کې ذخیره کوي.
تفصیل
د باور وړ اجرا کولو چاپیریال (TEE) د ګرځنده وسیلې هارډویر یا پروسیسر جوړښت کې یوه جلا سیمه ده چې د حساس ډیټا ذخیره کولو او حساس یا مهم عملیاتو اجرا کولو لپاره خورا خوندي چاپیریال چمتو کوي. دا د حساسو معلوماتو، کریپټوګرافیک کیلي او مهم پروسې د غیر مجاز لاسرسي څخه د ساتنې لپاره ډیزاین شوی.ampering که چیرې د اپلیکیشن سوداګرۍ فعالیتونه د پیرودونکي اړخ کې حساس ډیټا ذخیره کولو ته اړتیا ولري ، نو سپارښتنه کیږي چې دا د وسیلې په TEE کې ذخیره کړئ.
د پیرودونکي اړخ TEE کې د حساس ډیټا مناسب ذخیره کولو پلي کولو سره ، پراختیا کونکي کولی شي د جوړ شوي وسیلې دننه او د بهرني ناوړه لوبغاړو څخه رامینځته شوي ګواښونو پروړاندې کم کړي. دا ډول ذخیره کولی شي په اپلیکیشن کې د کارونکي حساس ډیټا ته د غیر مجاز لاسرسي پروړاندې هم کم کړي او د هرډول کوډ کولو کیلي غلا کیدو مخه ونیسي.
د تطبیق لارښود
پراختیا کونکي باید حساس معلومات د پیرودونکي اړخ ته په باوري اجرایی چاپیریال (TEE) کې خوندي کړي لکه د Android ARM's TrustZone، Apple's Secure Enclave.
پرمخ وړونکي باید په TEE کې لږترلږه د حساس معلوماتو لاندې لیست ذخیره کړي:
· بایومتریک پیژندونکي. · د تصدیق نښه. · د خوندي کلیدي مدیریت سیسټم کې کریپټوګرافیک کیلي لکه د Android کیسټور، iOS
کیچین.
پورته یوازې ځینې پخواني ديampد کومو حساسو معلوماتو پراختیا کونکي باید په TEE کې ذخیره کړي. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، پراختیا کونکي باید د آزادۍ څخه کار واخلي ترڅو هر هغه ډیټا ذخیره کړي چې دوی یې په TEE کې ذخیره کولو لپاره اړین ګڼي.
د پام وړ شیان
د هارډویر TEEs پرته وسیلو لپاره ، پراختیا کونکي ممکن د مجازی TEEs کارول په پام کې ونیسي.
په بدیل توګه، پراختیا کونکي کولی شي د اپلیکیشن غیر فعال کولو یا د ایپ د لوړ خطر لیږد فعالیتونه غیر فعال کړي، ځکه چې ایپ د لوړ خطر لیږد لپاره ناامنه ګڼل کیږي.
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. ۱۹-۲۰. · د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v19 (20)، مخ. 1.7.0، 2023، 75-93. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (194)، مخ. 200. · د PCI ګرځنده تادیاتو منلو امنیت لارښوونې v2021 (51)، مخ. 2.0.0-2017، 07. · د ENISA سمارټ فون د خوندي پراختیا لارښود (09)، مخ. 14.
34

STORAGE-BP03
کنټرول
ایپ حساس معلومات حذف کوي کله چې نور اړتیا نه وي.
تفصیل
د حساسو معلوماتو حذف کول د ذخیره کولو وسیلو، سرورونو یا ډیټابیسونو څخه د محرم، شخصي یا حساسو معلوماتو د دایمي لیرې کولو یا حذف کولو پروسې ته اشاره کوي. دا پروسه ډاډمن کوي ​​​​چې حساس معلومات په غیرقانوني ډول لرې شوي او نشي کولی د غیر مجاز اشخاصو لخوا یا د معلوماتو بیرته ترلاسه کولو میتودونو له لارې لاسرسی، بیرته ترلاسه، په ناڅاپي توګه افشا شوي، یا بیا جوړ شي.
د دې پروسې په پلي کولو سره، پراختیا کونکي کولی شي هغه کړکۍ کمه کړي په کوم کې چې برید کونکي کولی شي د حساس معلوماتو غلا کولو لپاره زیانمنونکي ګټه پورته کړي.
د تطبیق لارښود
پراختیا کونکي باید لاندې دوامداره ذخیره کولو امنیت تخنیکونه وکاروي:
· د اپلیکیشن په ختمیدو کې ذخیره شوي کوکیز پاک کړئ یا په حافظه کې د کوکیز ذخیره وکاروئ. · د اپلیکیشن په غیر نصبولو کې ټول حساس معلومات لرې کړئ. · په لاسي ډول ټول ډیټابیس لرې کړئ fileهغه چې حساس معلومات لري (د مثال په توګه، iOS WebView caches) څخه
د file سیسټم کله چې اړوند سوداګریز فعالیتونه شتون ولري.
پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرینونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا تخنیکونه ممکن زاړه شي. د ورته په څیر، پراختیا کونکي باید د وروستي صنعت غوره کړنو سره مخ شي ترڅو حساس معلومات حذف کړي کله چې نور اړین نه وي.
د پام وړ شیان
پراختیا کونکي باید په پام کې ونیسي چې په پراخه کچه منل شوي معیارونو او اړونده معلوماتو ساتلو قانون تعقیب کړي پشمول مګر محدود ندي:
· د شخصي معلوماتو د ساتنې قانون (PDPA) · د عمومي معلوماتو د ساتنې مقررات (GDPR) · د تادیې کارت صنعت د معلوماتو امنیت معیار (PCI DSS)
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. ۱۹۹، ۲۰۶-۲۱۴، ۴۰۳-۴۱۴.
· د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 39. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 07، 09-10.
35

36

4. ضد Tampering & Anti-Reversing

پیژندنه
د T ضدampering او د بیرته راګرځیدو ضد امنیتي کنټرول اضافي اقدامات دي چې پراختیا کونکي کولی شي د بریدونو سره د مبارزې لپاره پلي کړي.amper یا ریورس انجینر ایپس. د دواړو ځانګړتیاوو په پلي کولو سره، پراختیا کونکي په ایپسونو کې د دفاع ډیری پرتونه اضافه کوي، چې د ناوړه لوبغاړو لپاره په بریالیتوب سره دا خورا ستونزمن کوي.amper یا ریورس انجینر ایپسونه، چې پایله یې کیدی شي:
· د ارزښتناکو سوداګریزو شتمنیو غلا یا جوړجاړی لکه د ملکیت الګوریتم، سوداګریز رازونه، یا حساس معلومات،
· د هغو کاروونکو مالي زیانونه چې د لوړ خطر لیږد لپاره ایپ کاروي، · د عوایدو یا قانوني عمل له لاسه ورکولو له امله د سازمانونو مالي زیانونه، · د منفي تبلیغاتو یا د پیرودونکو نا رضایتۍ له امله د برانډ شهرت ته زیان

کنټرولونه ډاډ ورکوي چې ایپسونه په باوري پلیټ فارمونو کې پرمخ ځي، مخنیوی کويampد چلولو په وخت کې تیریږي او د ایپس فعالیت بشپړتیا یقیني کوي. برسېره پردې، کنټرولونه د برید کونکو لپاره د دې ستونزمن کولو له لارې د پوهیدو مخه نیسي چې معلومه کړي چې ایپس څنګه کار کوي.
امنیت کنټرولونه

ID

کنټرول

RESILIENCE-BP01 د رسمي ایپ پلورنځیو سندونو سره لاسلیک کړئ.

RESILIENCE-BP02 د جیل بریک/روټ کشف پلي کول. RESILIENCE-BP03 د ایمولیټر کشف پلي کول.

RESILIENCE-BP04 د مالویر ضد کشف پلي کول.

RESILIENCE-BP05 د هک کولو ضد میکانیزمونه پلي کوي.

RESILIENCE-BP06 پوښښ پلي کول، ریموټ viewing، او د سکرین شاټ ضد اقدامات.

RESILIENCE-BP07

د دریمې ډلې مجازی کیبورډونو پروړاندې د کیسټروک کیپچر کولو یا انټي کیلاګر پلي کول پلي کړئ.

37

RESILIENCE-BP01
کنټرول
ایپ د رسمي اپل پلورنځیو څخه د سندونو سره لاسلیک شوی کوډ دی.
تفصیل
ایپسونه اکثرا د ناوړه لوبغاړو لخوا غلا کیږي او د لږ سخت تنظیم شوي چینلونو له لارې ویشل کیږي. د رسمي ایپ پلورنځیو لخوا چمتو شوي سندونو سره د اپلیکیشن لاسلیک کول ګرځنده OS او کاروونکو ته ډاډ ورکوي چې ګرځنده ایپ د تایید شوي سرچینې څخه دی.
د کوډ لاسلیک پلي کول د عملیاتي سیسټمونو سره مرسته کوي معلومه کړي چې ایا سافټویر ته اجازه ورکړي چې د کوډ لاسلیک کولو لپاره کارول شوي لاسلیکونو یا سندونو پراساس چلولو یا نصب کړي. دا د احتمالي زیان رسونکي ایپسونو نصب او اجرا کولو مخنیوي کې مرسته کوي. سربیره پردې ، د کوډ لاسلیک کول د بشپړتیا تصدیق سره هم مرسته کوي ، ځکه چې لاسلیکونه به بدل شي که چیرې اپلیکیشن شتون ولريampسره جوړ شوی.
د تطبیق لارښود
پراختیا کونکي باید خپل غوښتنلیکونه د سندونو سره لاسلیک کړي. دا برخه وړاندې کويampد دوه خورا مشهور پلیټ فارمونو iOS او Android له لارې دا څنګه ترسره کړئ.
د آپیل د اپل سټور لپاره، دا د آپیل پراختیا کونکي پروګرام کې د نوم لیکنې او د پراختیا کونکي پورټل کې د سند لاسلیک کولو غوښتنه رامینځته کولو سره ترسره کیدی شي. پراختیا کونکي کولی شي د آپیل پراختیا کونکي برنامې لپاره راجستر شي او کولی شي د یادولو لپاره د کوډ لاسلیک کولو لپاره لاندې پراختیا کونکي لارښود ته مراجعه وکړي.
د Android لپاره، د اپل پلورنځي مختلف ډولونه شتون لري. د ګوګل د Play Store لپاره، دا د Play App Signing په ترتیب کولو سره ترسره کیدی شي کوم چې د ګوګل د Play Store له لارې د توزیع لپاره اړتیا ده. د دې کولو څرنګوالي په اړه د نورو معلوماتو لپاره پراختیا کونکي کولی شي د یادولو لپاره د Android پراختیا کونکي لارښود څخه لیدنه وکړي.
د نورو رسمي پلورنځیو لپاره ، د ایپ سرچینې کوډ لاسلیک کولو په اړه د دوی اړوند پراختیا کونکي لارښودونو ته مراجعه وکړئ. د یادولو وړ شیان د دې امنیت کنټرول په رسمي ایپ پلورنځیو کې د ایپسونو خپرولو لپاره هم اړتیا ده ، لکه څنګه چې ستاسو د اپلیکیشن لپاره وړاندیز دا دی چې د رسمي ایپ پلورنځیو څخه د سندونو سره لاسلیک شوی کوډ وي. دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د کوډ لاسلیک کولو لپاره د ایپل پراختیا کونکي برنامې لارښود ، https://developer.apple.com/support/code-signing (Jan 2024).
· د محرمیت په اړه د Android پراختیا کونکي لارښود، https://developer.android.com/quality/privacy-andsecurity (جنوري 2024).
· د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 325-326، 522523.
· د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۲۱.
38

RESILIENCE-BP02
کنټرول
ایپ د جیل بریک یا ریښی کشف پلي کوي.
تفصیل
ریښې شوي او جیل مات شوي وسایل عموما ناامنه ګڼل کیږي. ریښې شوي یا جیل مات شوي وسیلې کاروونکو ته اجازه ورکوي چې لوړ امتیازات ترلاسه کړي ، د امنیت او OS محدودیتونو اسانه مخنیوی وړ کړي. دا ډول لوړ امتیازات د ایپسونو لپاره ناامنه کیدی شي ځکه چې دا امتیازات ناوړه لوبغاړو ته اجازه ورکوي چې احتمالي زیانونه وکاروي، اسناد غلا کړي، د کاروونکي وسایل ونیسي او د جعلي اپلیکیشن لیږدونه اجرا کړي.
د جیل بریک یا روټ کشف پلي کولو سره ، پراختیا کونکي کولی شي د پورته ذکر شوي استحصال مخه ونیسي ، د ایپس فکري ملکیت خوندي کړي ، د ایپس ثبات تضمین کړي او د اپلیکیشن سیسټمونو د بای پاس مخه ونیسي.
د تطبیق لارښود
پراختیا کونکي باید د Android وسیلو لپاره د دوی په اپلیکیشن کې د لاندې چیکونو پلي کولو سره جیل بریک یا د روټ کشف پلي کړي:
1. د سوپر یوزر یا SU بائنری لپاره وګورئ. 2. ريښه کشف کړئ file سیسټم بدلونونه. 3. د ریښې شوي ایپسونو لټون وکړئ. 4. د ګمرکي بیا رغونې لپاره وګورئ. 5. د API غیر خوندي کارونې لپاره وګورئ.
پراختیا کونکي باید د iOS وسیلو لپاره د دوی په ایپ کې د لاندې چیکونو پلي کولو سره جیل بریک یا د روټ کشف پلي کړي:
1. د محدود شوي APIs کارول کشف کړئ. 2. د جیل بریک ټیکونو لپاره وګورئ لکه موډونه. 3. د غیر رسمي ایپ پلورنځیو لپاره وګورئ، د بیلګې په توګه، د Cydia App Store لاسلیک وګورئ. 4. د کرنل تعدیلات وګورئ. 5. د انتقاد بشپړتیا وګورئ file سیسټمونه 6. د دریمې ډلې کتابتونونو څخه کار واخلئ چې د آلې د کشف کولو لپاره ډیزاین شويampد.
پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرین چیکونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا چکونه ممکن تاریخي شي. د ورته په څیر ، پراختیا کونکي باید د جیل بریک یا ریښې کشف پلي کولو لپاره د وروستي صنعت غوره تمرینونو سره نږدې وي.
39

د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 31. · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 319-320, 5069,
518-519. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 50. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۱۱، ۲۳.
9 https://github.com/crazykid95/Backup-Mobile-Security-Report/blob/master/Jailbreak-Root-DetectionEvasion-Study-on-iOS-and-Android.pdf
40

RESILIENCE-BP03
کنټرول
ایپ د ایمولیټر کشف پلي کوي.
تفصیل
ایمولیټرونه هغه سافټویر دی چې د ګرځنده ایپسونو ازموینې لپاره کارول کیږي چې کارونکي ته اجازه ورکوي چې په مختلف ډول نقل شوي ګرځنده نسخو او وسیلو کې د ګرځنده اپلیکیشن ازموینه وکړي. که څه هم د ازموینې لپاره ګټور دي، ایپس باید ځان ته اجازه ورنکړي چې د پراختیا چاپیریال څخه بهر په ایمولیټرونو کې نصب شي.
د ایمولیشن کشف پلي کولو سره ، پراختیا کونکي کولی شي ناوړه فعالین د متحرک تحلیل ، روټینګ ، ډیبګ کولو ، وسیلې ، هوکینګ ، او فز ټیسټ کولو مخه ونیسي په ایمول شوي وسیله چې دوی یې کنټرولوي. په دې کولو سره، پراختیا کونکي کولی شي ناوړه عمل کونکي د استثمار لپاره په اپلیکیشن کې د زیانونو موندلو مخه ونیسي.
د تطبیق لارښود
پراختیا کونکي باید لاندې کشف کولو ستراتیژي پلي کړي ترڅو د عام ډول کارول شوي ایمولیشن حلونو لپاره ځانګړتیاوې وپیژني. د چک کولو لپاره د شیانو ځینې سپارښتنې په لاندې ډول دي:
· د بیټرۍ کارول چیک کړئ. · مهال ویش وګورئamps او ساعتونه. · ملټي ټچ چلندونه وګورئ. · حافظه او د فعالیت تحلیل وګورئ. · د شبکې چکونه ترسره کړئ. · وګورئ چې ایا دا د هارډویر پر بنسټ دی. · وګورئ چې د OS پر بنسټ څه دی. · د وسیلې د ګوتو نښې چیک کړئ. · د جوړونې تشکیلات چیک کړئ. · د ایمولیټر خدماتو او ایپسونو لپاره وګورئ.
پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرین چیکونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا چکونه ممکن تاریخي شي. د ورته په څیر ، پراختیا کونکي باید د ایمولیټر کشف پلي کولو لپاره د وروستي صنعت غوره تمرینونو سره نږدې وي. د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 31-32. · د OWASP د ګرځنده غوښتنلیک د امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. ۳۲۵، ۵۲۱.
41

RESILIENCE-BP04
کنټرول
ایپ د مالویر ضد کشف پلي کوي.
تفصیل
د مالویر ایپس په زیاتیدونکي توګه د ناوړه لوبغاړو لخوا د ویکتور په توګه کارول کیږي ترڅو د کاروونکو ګرځنده وسیلو سره موافقت وکړي ځکه چې دا ډول وسایل کاروونکو ته د ورځني معاملو ترسره کولو لپاره اړین اسانتیا چمتو کوي. د مالویر ایپس په ابتدايي توګه د سایډلوډینګ ځانګړتیاوې د چینل په توګه کاروي ترڅو کاروونکي په خپلو وسیلو کې مالویر نصب کړي.
د چلولو په وخت کې په اپلیکیشن کې د مالویر ضد کشف کولو وړتیاو پلي کولو سره، پراختیا کونکي کولی شي د کاروونکو څخه د مالویر څخه د ناوړه ګټه اخیستنې د اپلیکیشن زیانونو او OS زیانونو، د اسنادو غلا کولو، د وسیلو په نیولو، او د درغلیو لیږدونو اجرا کولو مخه ونیسي.
د تطبیق لارښود
پراختیا کونکي باید په خپلو ایپسونو کې د مالویر ضد کشف وړتیاوې پلي کړي. دا په مختلفو لارو ترسره کیدی شي، مګر محدود ندي:
د دوی په ایپسونو کې د چلولو وخت - غوښتنلیک - د ځان ساتنې (RASP) سافټویر پراختیا کټ (SDK) شامل کړئ.
· د چلولو په وخت کې د مالویر ایپس چیک کولو او موندلو لپاره د RASP SDKs وکاروئ. · د پوښونو لپاره وګورئ او مخنیوی وکړئ. · د کلک جیک کولو مخه ونیسئ. · د اپلیکیشن حافظې هک کولو مخه ونیسئ.
پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرین چیکونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا چکونه ممکن تاریخي شي. د ورته په څیر، پراختیا کونکي باید د مالویر ضد کشف پلي کولو لپاره د وروستي صنعت غوره کړنو سره مخ شي.
د پام وړ شیان
که چیرې کوم ډول ناوړه ګټه وموندل شي، نو پراختیا کونکي باید اپلیکیشن غیر فعال کړي او کارونکي ته اړین معلومات چمتو کړي چې ولې اپلیکیشن غیر فعال شوی او کاروونکي یې وغوښتل چې د دوی په وسیله ناوړه اپلیکیشن غیر نصب کړي.
په بدیل سره، پراختیا کونکي باید کاروونکي ته خبرداری ورکړي، او په اپلیکیشن کې د لوړ خطر فعالیتونه غیر فعال کړي تر هغه چې کاروونکي ناوړه اپلیکیشنونه اصالح کړي. دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 31. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 40، 49. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 23.
42

RESILIENCE-BP05
کنټرول
ایپ د هک کولو ضد میکانیزمونه پلي کوي.
تفصیل
هوکینګ هغه تخنیک ته اشاره کوي چې د برید کونکو لخوا کارول کیږي ترڅو د چلولو په وخت کې د ګرځنده ایپ چلند مداخله یا تعدیل کړي. پدې کې د یو اپلیکیشن د اجرا کولو جریان کې داخلول یا هک کول شامل دي ترڅو یا د هغې فعالیتونه وڅاري ، چلند یې بدل کړي ، ناوړه کوډ داخل کړي یا د زیانونو څخه ګټه پورته کولو لپاره د موجوده کوډ افعال تعدیل کړي.
په ایپسونو کې د هک کولو ضد میکانیزم پلي کولو سره، پراختیا کونکي کولی شي د پورته بریدونو څخه مخنیوی وکړي او د غیر مجاز لاسرسي مخه ونیسي، د لوړ خطر لیږد عملیات خوندي کړي، د ټیپ کشف او مخنیوی وکړي.ampد بدلون او ترمیم هڅې، د فکري ملکیت ساتنه او د اپلیکیشن اعتبار ساتل.
د تطبیق لارښود
پراختیا کونکي باید لاندې مثال پلي کړيampد هکنګ بریدونو په وړاندې د کمولو میکانیزمونه:
· د کوډ انجیکشنونو بندولو لپاره محافظت پلي کړئ. · په اپلیکیشن کې د بدلونونو مخه نیولو سره د میتود هک کولو مخنیوي لپاره محافظتونه پلي کړئ
د سرچینې کوډ (دواړه په پیرودونکي او سرور کې). · ستاسو په اپلیکیشن کې د تعدیل شوي کوډونو اجرا کیدو مخنیوي لپاره محافظتونه پلي کړئ. · ستاسو د اپلیکیشن لپاره د حافظې لاسرسي او حافظې لاسوهنې مخنیوي لپاره محافظتونه پلي کړئ. · تطبيقولampد مقاومت الګوریتم یا ضد ضدampering SDKs (په عموم ډول پیژندل کیږي
Runtime-Application-Self-Protection SDKs). · د ناامنه پیرامیټونو لپاره چک کړئ لکه زوړ APIs او پیرامیټونه.
پورته یوازې ځینې پخواني ديampد صنعت لخوا کارول شوي غوره تمرین چیکونه. لکه څنګه چې د ګرځنده وسیلو اکوسیستم وده کوي، دا چکونه ممکن تاریخي شي. د ورته په څیر، پراختیا کونکي باید د وروستي صنعت غوره تمرینونو سره د هک کولو ضد میکانیزمونو پلي کولو لپاره نږدې وي. د یادولو وړ شیان دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 31. · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 135-140, 189,
318-319, 339-340, 390, 520. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 56. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۲۳، ۲۶.
43

RESILIENCE-BP06
کنټرول
ایپ پوښښ پلي کوي ، ریموټ viewing، او د سکرین شاټ ضد اقدامات.
تفصیل
حساس معلومات د کارونکي له څرګند رضایت پرته نیول کیدی شي یا ثبت کیدی شي کله چې یو اپلیکیشن د سکرین ثبت کول ، سکرین شاټ یا پوښي فعالیت لري. د مثال لپارهampLe:
· د پوښښ بریدونه د باور وړ ایپسونو نقل کولو جعلي پرت رامینځته کولو سره کاروونکي غولوي ، چې هدف یې د حساسو معلوماتو غلا کول دي.
· لیرې viewپه بریدونو کې د وسیلې سکرین ته غیر مجاز لاسرسی شامل دی ، برید کونکو ته اجازه ورکوي چې حساس معلومات له لرې څخه راټول کړي.
· د سکرین شاټ بریدونه هغه وخت رامینځته کیږي کله چې ناوړه عمل کونکي د کارونکي رضایت پرته د وسیلې سکرین ونیسي ، حساس معلومات استخراج کوي.
د پوښښ پلي کول، ریموټ viewد ing او د سکرین شاټ ضد اقدامات کولی شي ډاډ ترلاسه کړي چې حساس معلومات خوندي پاتې کیږي، د کاروونکي محرمیت ساتل کیږي او حساس معلومات د ناڅاپه ضایع کیدو یا ناوړه ګټې اخیستنې په وړاندې خوندي دي.
د تطبیق لارښود
پراختیا کونکي باید د ضد ضد پلي کړيampد RASP SDKs له لارې د مالویر ضد چیک کول او د ناوړه ایپسونو د اوورلیز او ریموټ کارولو څخه مخنیوي لپاره viewاستحصال کول.
د سکرین شاټونو لپاره ، پراختیا کونکي کولی شي د Android ایپس لپاره FLAG_SECURE بیرغ او د iOS لپاره ورته بیرغونه وکاروي ترڅو د اپلیکیشن کارولو پرمهال د سکرین شاټ ټولې وړتیاوې بندې کړي. په هرصورت، فرض کړئ چې سوداګریز فعالیتونه د سکرین شاټ وړتیاو ته اړتیا لري (د بیلګې په توګه د بشپړ شوي PayNow لیږد سکرین شاټ اخیستل). په دې حالت کې، سپارښتنه دا ده چې د سکرین شاټ وړتیاوې غیر فعال کړئ د سکرینونو یا پاڼو لپاره چې حساس معلومات (PII او تصدیق ډاټا) پکې شامل دي.
پراختیا کونکي کولی شي د حساس ډیټا او سینسر سکرینونو سره د ماسک کولو ان پټ هم په پام کې ونیسي کله چې ایپ شالید وي.
د پام وړ شیان
ځینې ​​پخوانيampد دې سکرین شاټ وړتیاو غیر فعال کولو لپاره په کوم ځای کې شامل دي مګر محدود ندي: د ننوتلو پا pagesې ، د څو فکتور تصدیق پا pagesې ، امنیت اسناد ، او د PII بدلولو پا pagesې ، او داسې نور.
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 31. · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 166-168, 257,
259، 265-267، 366، 480-481. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 56. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. ۸.
44

RESILIENCE-BP07
کنټرول
ایپ د دریمې ډلې مجازی کیبورډونو پروړاندې د کیسټروک ضد یا کیلوګر ضد پلي کوي.
تفصیل
د کیسټروک نیول او کیلوګ کول هغه میتودونه دي چې ناوړه لوبغاړي یې د کارونکي د پوهې او رضایت پرته په کیبورډ کې فشار شوي کیلي د څارلو، ننوتلو او ثبتولو لپاره کاروي. دا د احتمالي حساس ډیټا (د مثال په توګه PII او تصدیق کولو ډیټا) د ننوتلو او نیولو اجازه ورکوي.
د کیسټروک او کیلوګ کولو ضد اقداماتو پلي کولو سره ، پراختیا کونکي کولی شي د حساس معلوماتو غیر ضروري ضایع کیدو مخه ونیسي. په ځانګړې توګه، دا کنټرول د Android وسایل په نښه کوي، ځکه چې د Android وسیلو اصلي کیبورډ بدلیدلی شي. دا ډول بدلونونه کولی شي ایپسونه د امنیتي زیانونو سره مخ کړي ځکه چې د کیبورډ ان پټونو او ایپسونو ترمینځ باوري لاره د دوی ترمینځ بې باوره اړخونه لري.
د تطبیق لارښود
پراختیا کونکي باید اجازه ورنکړي چې ناامنه دریمې ډلې مجازی کیبورډونه د ان پټونو لپاره وکارول شي چې ممکن حساس معلومات ولري. د دې ډول آخذونو لپاره په ایپ کې خوندي دودیز کیبورډ غوره دی.
د اپلیکیشن کیبورډ په پلي کولو سره، پراختیا کونکي کولی شي کنټرول کړي چې د ننوتلو ډاټا چیرته ځي او د ناامنه دریمې ډلې مجازی کیبورډونو خطر کم کړي چې د کیلوګر په توګه کار کوي د کیسټروکونو نیولو لپاره.
د اپلیکیشن کیبورډونو کارولو سره سره، پراختیا کونکي باید لاندې سپارښتنې پلي کړي د هغو معلوماتو لپاره چې حساس ډیټا ته اړتیا لري (د بیلګې په توګه PII او د تصدیق ډاټا): د افعالونو/یا ایپسونو لپاره چې حساس معلومات لري د اتوماتیک سمون، اتوماتیک ډکول، اتوماتیک وړاندیز، کټ، کاپي، او پیسټ غیر فعال کړئ .
د یادولو وړ شیان ځینې پخوانیampد هغو دندو چې باید د اپلیکیشن کیبورډونو څخه کار واخلي شامل دي مګر د ننوتلو، د OTP داخلولو، یا د تصدیق کولو نور عوامل، او نور پورې محدود ندي.
دا امنیت کنټرول او غوره تمرین په اصل کې د Android وسیلې په نښه کوي. اصلي هدف دا دی چې د باوري لارې امنیت ډاډمن کړي. څرنګه چې Android داسې طریقه نه وړاندې کوي چې د اصلي / باوري کیبورډونو کارول پلي کړي، پراختیا کونکي باید د اپلیکیشن کیبورډ پلي کړي ترڅو ډاډ ترلاسه کړي چې ناامنه دریمې ډلې مجازی کیبورډ معلومات نه لوګوي.
په اپلیکیشن کې د خوندي کیبورډ پلي کول د جوړ شوي وسیلې سره تړلي خطرونه کم نه کوي.
دا امنیت کنټرول په نورو معیارونو کې راجع کیږي. مهرباني وکړئ په دې کې چمتو شوي اسنادو ته مراجعه وکړئ:
· د OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 (2023)، مخ. 31. · د OWASP ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 (2023)، مخ. 203, 214-215,
257، 259، 400، 414-415. · د MAS ټیکنالوژۍ د خطر مدیریت لارښوونې (2021)، مخ. 56. · د ENISA سمارټ فون د خوندي پراختیا لارښود (2016)، مخ. 08، 23.
45

حوالې

S/N 1
2
3
4
5
6 7

سند OWASP د ګرځنده غوښتنلیک امنیت تصدیق معیاري (MASVS) v2.0.0 OWASP د ګرځنده غوښتنلیک امنیت ازموینې لارښود (MASTG) v1.7.0 MAS ټیکنالوژي د خطر مدیریت لارښودونه ، د PCI ګرځنده تادیې منلو امنیت لارښود v2.0.0 ENISA سمارټ فون خوندي پرمختیا لارښود Android Developers Doopercu Apple Developers

سرچینه OWASP
OWASP
MAS
PCI-DSS
ENISA
د Android ایپل

د 2023 نیټه
2023
2021
2017
2016
2024 2024

46

اسناد / سرچینې

د CSA خوندي معیاري اپلیکیشن [pdf] د کارونکي لارښود
خوندي معیاري اپلیکیشن، خوندي معیاري، اپلیکیشن

حوالې

اړونده پوسټونه

یو نظر پریږدئ

ستاسو بریښنالیک پته به خپره نشي. اړین ساحې په نښه شوي *