ПРИНЦИПИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ АРХІТЕКТУРИ ІНФОРМАЦІЙНОЇ СИСТЕМИ НА БАЗІ КЛІЄНТСЬКИХ ДОДАТКІВ ДЛЯ ОС ANDROID
DOI:
https://doi.org/10.28925/2663-4023.2020.8.4960Ключові слова:
Android; безпека застосунків; архітектура інформаційних систем; мобільні додатки; безпека мобільних додатків; поверхня атаки; модель безпекиАнотація
У статті розглядаються, порівнюються та аналізуються основні вектори атак на інформаційні системи, що використовують додатки ОС Android в якості клієнтських інтерфейсів. Даний аналіз проводиться з метою отримання базового матеріалу для розробки практичних принципів забезпечення безпеки на рівні архітектури таких систем. Виконано категоріювання можливих атак та вразливостей, що полягають в їхній основі в контексті безпеки Android додатків та з урахуванням моделі безпеки самої операційної системи і середовища. Для виконання поставлених дослідницьких завдань було проведено аналіз компонентів Android-додатку та типової інформаційної інфраструктури досліджуваних систем. що так чи інакше впливають на їхню захищеність. Проведено аналіз наявної інформації щодо розповсюджених вразливостей цих компонентів та атак, що передбачають експлуатацію даних проблем. Досліджено декілька можливих моделей порушника, що можуть виконувати атаки на інформаційну систему. В результаті проведеного дослідження отримано аналітичні дані щодо векторів порушення цілісності та конфіденційності інформації з обмеженим доступом в інформаційних системах, що надають доступ до неї через мобільні додатки. В рамках порівняльної характеристики надається аналіз можливого впливу порушника на інформаційну систему зважаючи на його технічні можливості та поверхні атаки на кожному з визначених напрямків. Отримані теоретичні висновки щодо модифікації архітектури інформаційних систем, побудованих на базі мобільних додатків з метою підвищення їх захищеності від розповсюджених загроз інформації. Результати можуть бути використані для формування моделі загроз та порушника для додатку, що надає доступ до інформації з обмеженим доступом, розробки рекомендацій щодо реалізації тих чи інших етапів життєвого циклу інформаційної системи з метою зменшення ризиків компрометації даних, розробки технічних вимог до етапів тестування та розробки тощо.
Завантаження
Посилання
W. Enck, D. Octeau, P. McDaniel and S. Chaudhuri, "A Study of Android Application Security", 2011. (in English)
I. Leshhakov, "Corporative information system architecture", Molodoj uchenyj, vol. 1, no. 155, pp. 13-15, 2017. [Accessed 10 March 2020]. (in Russian)
Z. Joerg, Architecture of Interoperable Information Systems - An enterprise Model-based Approach for Describing and Enacting Collaborative Business Processes. 2012, pp. 1-3. (in English)
V. Kopytov, A. Shulgin and S. Fedorov, " DEVELOPMENT OF THE ARCHITECTURE INTEGRATION ENVIRONMENT CROSS-PLATFORM MOBILE APPLICATIONS WITH CORPORATE INFORMATION SYSTEMS ", Mezhdunarodnyj nauchno-issledovatel'skij zhurnal, vol. 1, no. 38, 2015. [Accessed 10 March 2020]. (in Russian)
R. Al-Sayyed, S. Manaseer and O. Rababeh, "Mobile Information System, How to Build with Case Study", International Journal of Interactive Mobile Technologies (iJIM), vol. 4, no. 4, 2010. Available: 10.3991/ijim.v4i4.1357 [Accessed 10 March 2020]. (in English)
A. Jørgensen, The Future of the Mobile Application Market. Trondheim: Norwegian University of Science and Technology, 2014, pp. 29-34. (in English)
S. Chatterjee, K. Paul, R. Roy and A. Nath, "A Comprehensive Study on Security issues in Android Mobile Phone — Scope and Challenges", International Journal of Innovative Research in Advanced Engineering, vol. 3, no. 3, 2016. [Accessed 10 March 2020]. (in English)
B. Schmerl et al., "Architecture Modeling and Analysis of Security in Android Systems", Software Architecture, pp. 274-290, 2016. Available: 10.1007/978-3-319-48992-6_21 [Accessed 10 March 2020]. (in English)
S. Khan and I. Firdous, "Review on Android App Security", International Journal of Advanced Research in Computer Science and Software Engineering, vol. 7, no. 4, pp. 225-228, 2017. Available: 10.23956/ijarcsse/v7i4/0195 [Accessed 10 March 2020]. (in English)
J. Six, Application security for the Android platform. Beijing: O'Reilly, 2012. (in English)
P. Manadhata, K. Tan, R. Maxion and J. Wing, "An Approach to Measuring a System's Attack Surface", 2007. Available: 10.21236/ada476977 [Accessed 10 March 2020]. (in English)
Q. Do, B. Martini and K. Choo, "The role of the adversary model in applied security research", Computers & Security, vol. 81, pp. 156-181, 2019. Available: 10.1016/j.cose.2018.12.002 [Accessed 10 March 2020]. (in English)
European Maritime Safety Agency, "System and Application Technical Landscape", 2014.
P. Gadient, M. Ghafari and O. Nierstrasz, Web APIs in Android through the Lens of Security. 2020. (in English)
NIST, "Guide to Secure Web Services", Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology, Gaithersburg, 2007. (in English)
F. Sun, L. Xu and Z. Su, "Detecting Logic Vulnerabilities in E-commerce Applications", Proceedings 2014 Network and Distributed System Security Symposium, 2014. Available: 10.14722/ndss.2014.23351 [Accessed 10 March 2020]. (in English)
"OWASP Top Ten", Owasp.org, 2017. [Online]. Available: https://owasp.org/www-project-top-ten/. [Accessed: 10- Mar- 2020]. (in English)
S. Fahl, M. Harbach, T. Muders, M. Smith, L. Baumgärtner and B. Freisleben, "Why eve and mallory love android", Proceedings of the 2012 ACM conference on Computer and communications security - CCS '12, 2012. Available: 10.1145/2382196.2382205 [Accessed 10 March 2020]. (in English)