ከም ዲጂታላዊ ቦርሳ ዝኣመሰለ ናይ ሞባይል ኣፕ ሕሰብ ፣ ካብ ናይ ተጠቃሚ ምልክት ቃል ክሳብ ዝርዝር ክፍሊት ኩሉ ዝሕዝ። ከም ሓደ ፈታኒ ምእታው መጠን፡ ስራሕካ እቲ ቦርሳ ብጽኑዕ ከም ዝተዓሸገ ምርግጋጽ እዩ-ዝኾነ ናይ ብሓቂ መጥቃዕቲ ዝፍጽም ሰብ ክሰባበር ቅድሚ ምፍታኑ ነዊሕ።ኣብዚ መምርሒ፡ ንሕና ብኹሉ መስርሕ ሞባይል ፔንስቲንግ ክንመርሓካ ኢና , ካብ ምእካብ ትኽክለኛ መሳርሒታት ክሳብ... ኮድን ትራፊክን ምትንታን እዩ። ዘሊልና ንእቶ!

መእተዊ

ሞባይል መሳርሒታት ዳርጋ መቐጸልታ ገዛእ ርእስና ኣብ ዝኾነት ዓለም ኢና እንነብር ዘለና። ሰባት ባንክ ፣ ዕዳጋ ፣ ማሕበራዊ ርክብ ብተሌፎን ስለ ዝገብርዎ፣ ድሕነት ኣፕ ምርግጋጽ ልዕሊ ኩሉ እዩ። ስለዚ ድማ እዩ ሞባይል ፔንስቲንግ ኣገዳሲ ዝኸውን: ኣብ ልዕሊ ኣፕስ ዝፍጸም መጥቃዕቲ ንምምሳል ድኽመታት ንምቅላዕን ንደቨሎፐራት ንኽዕቅብዎ ንሕግዞምን።

ኣብኡ ዘሎ ንዓኻትኩም ኣብዚ ኣሎ፤

• ሰላም ኣእምሮ : ብሰንኪ ምፍሳስ ዳታ ወይ ዝተሰርቀ መረጋገጺታት ድቃስ ኣይክትስእንን ኢኻ።
• ምኽባር : ተቖጻጸርቲ (ተጠቀምትኻን) ድልዱል ናይ ምክልኻል ደረጃታት ይጠልቡ።
• Reputation Boost : ውሑስ ኣፕስ ማለት ዝያዳ ሕጉሳት ዓማዊልን ዝወሓደ ሓደጋ ኣሉታዊ ኣርእስታት ዜናን ማለት እዩ።

ሞባይል ጴንጠስቲንግ እንታይ እዩ?

ኣብ ሕመረቱ ፡ ሞባይል ፔንተስቲንግ ፡ ንሓደ ኣፕ ክትሰባበር ፈጠራዊ መገድታት ምርካብ እዩ-ልክዕ ከምቲ ናይ ብሓቂ መጥቃዕቲ ዝፍጽም ሰብ-መጀመርታ ነቲ ድኽመታት ከተዐርዮ ትኽእል። ካብ ስታንዳርድ ዌብ ፔንስቲንግ ዝተፈልየ እዩ ምኽንያቱ ሞባይል ኣፕስ፤

• Run on Unique Platforms : ኣንድሮይድን iOSን ነፍሲ ወከፎም ናይ ገዛእ ርእሶም ሕግታት፡ ናይ ድሕነት ሞዴላትን ቅልውላዋትን ኣለዎም።

• ዳታ ኣብ መሳርሒታት ምዕቃብ : ስሱዕ ሓበሬታ ኣብ ከባቢኻ ክዕቀብ ስለ ዝኽእል፡ ንመሳርሒታት ዝምልከት መኽዘን ምፍታሽ ወሳኒ ይገብሮ።

• ኣብ ኤፒኣይ ብብዝሒ ምጽጋዕ : ሞባይል መተግበሪታት መብዛሕትኡ ግዜ ብኤፒኣይ ኣቢሎም ምስ ድሕረ-ባይታ ኣገልገልቲ ይዛረቡ፣ እዚኦም ብግቡእ እንተዘይተፈቲኖም ብጌጋ ክውነኑ ወይ ተቓላዕቲ ክኾኑ ይኽእሉ።

  
  

ልሙዳት ብድሆታት ምስ root/jailbreak detection ምግጣም , bypassing SSL pinning , ከምኡ’ውን ንኽልቲኡ client-side ን server-side logic ምትንታንን ይርከብዎም።

ልሙዳት ስግኣታት ኣብ ሞባይል ኣፕሊኬሽናት

ኣብ ማእከላይ ዘመን ዝነበረ ዕርዲ ኣብ ኣእምሮኻ ስኣሎ—እዚኦም እዮም እቶም መጥቃዕቲ ዝፍጽሙ ልሙዳት “ድኹማት ነጥብታት” ዒላማ ዝገብሩ:

1. ውሑስ ዘይኮነ መኽዘን መረዳእታ
   • ተሃዋሲ ቶከናት ወይ ናይ ተጠቃሚ መረጋገጺታት ኣብቲ መሳርሒ ብዘይ ምስጢራዊ ይተርፉ።
2. ድኹም ሰርቨር-ሳይድ ቁጽጽር
   • ዝጎደለ ምእታው ምጽራይ ወይ ሃከራት ክምዝምዝዎ ዝኽእሉ ጉድለት ዘለዎ ኤፒኣይ ሎጂክ።
3. እኹል መከላኸሊ ንጣብ መጓዓዝያ ዘይምህላው
   • HTTP ወይ ጉድለት ዘለዎ HTTPS ምጥቃም፣ መጥቃዕቲ ዝፍጽሙ ሰባት ትራፊክ መርበብ ክዓግቱ ወይ ክቕይሩ የኽእሎም።
4. ውሑስ ዘይኮነ ምርግጋፅን ፍቓድን ምሃብ
   • ብሕማቕ ዝተተግበረ ናይ መእተዊ ስርዓታት፣ ምሕደራ ክፍለ ግዜ፣ ወይ ፍቓድ ምፍታሽ።
5. ብወገን ዓሚል ዝመጽእ ተቓላዕነት

   • ምስጢር ንምግላጽ ብተገላባጢ ምህንድስና ክስራሕ ዝኽእል ኮድ፡ ወይ ኣብ ግዜ ምዝዋር ክእለ ዝኽእል ስነ-መጐት።

     
     

ብዛዕባ እዞም ሓደጋታት ዝያዳ ንምርካብ ኣብ OWASP Mobile Top 10 ከምኡ’ውን ኣብ መምርሒ ፈተነ ድሕነት ሞባይል ኣፕሊኬሽን (MASTG) ተወከሱ። ከም ካርታታት ንኹሉ ክህሉ ዝኽእል መጻወድያታት ዘጉልሑ እዮም።

ንሞባይል ቴስቲንግ ተዳለዉ

ቅድሚ ነቲ ሓወልቲ ብህቦብላ ምውራድካ ፡ ቅኑዕ ዕጥቅን ኣጽዋርን የድልየካ . ብናይ ፐንተስቲንግ ኣዘራርባ፡ እዚ ማለት ኣብ ሓቀኛ ዓለም ዳታ ከይጎዳእካ ብዘይ ስግኣት ክትፍትነሉ እትኽእል ሃዋህው ምድላው ማለት እዩ። መሰረታዊ ነገራት ንኽልቲኡ ኣንድሮይድን ኣይኦኤስን ንሽፍን።

ኣንድሮይድ

ናይ ኣንድሮይድ ኣፕስ ክትፍትን ከለኻ፡ ከም ኣንድሮይድ ኤሙለተር ወይ ጀኒሞሽን ዝኣመሰሉ መሳርሒታት ተጠቒምካ ቨርቹዋል መሳርሒታት ክትሽክርክር ትኽእል ኢኻ። እዞም ኤሙለተራት እዚኦም፡ ኣካላዊ መሳርሒ ከየድለየካ፡ ኣፕስ ብቕልጡፍ ክትተክልን ክትፍትንን የኽእሉኻ። ሓደ ንምትካል ዝርዝር ስጉምትታት ኣብዚ መምርሒ ’ ዚ ክትረኽብዎ ትኽእሉ ኢኹም።

ኣንድሮይድ ኤሙለተር

ይኹን እምበር፡ መብዛሕትኡ ግዜ ፊዚካዊ መሳርሒ ምጥቃም ዝያዳ ልክዕ ውጽኢት ይህብ-ብፍላይ ኣብ ሓቀኛ ዓለም ንዘሎ ኩነታት መርበብ፡ ሴንሰራት ወይ ባዮሜትሪክ ምርግጋጽ ክትፍትን ኣብ ዘድልየካ እዋን። ዝያዳ ምዕቡል ፈተነታት ከም ሱር ምፍታሽ ወይ ብዕምቆት ዳታ ፎረንሲክስ ክትገብር እንተሓሲብካ፡ ጭቡጥ ሃርድዌር ምህላው ዓቢ ፕላስ እዩ።

ውፉይ መሳርሒ ክትገዝእ ወይ ክትልቃሕ እንተ ወሲንካ፡ ገለ ኣንድሮይድ ስልክታት ሱር ንምግባር ዝቐለለ ምዃኑ ኣብ ግምት ኣእቱ ። ሱር ምግባር ናብቲ ስርዓተ ምምሕዳር ብዕምቆት ክትኣቱ ይሕግዘካ፣ እዚ ድማ ሕቡኣት ፋይላት ክትትንትን፣ ገደባት ኣፕ ክትሓልፍን ልዑል ፍቓድ ዝሓትት ሓያላት መሳርሒታት ከተካይድን የኽእለካ።

ሱር ምትካል

Android Rooting ልክዕ ከምቲ ኣብ ስርዓተ ምምሕዳር ስልክኻ ዝኣቱ ዓጽሚ መፍትሕ ምርካብ እዩ። ከም ልሙድ፡ ንስኻ፤

1. ነቲ ቦትሎደር ክፈትዎ።
2. ብሕታዊ ምሕዋይ (ንኣብነት፡ TWRP) ፍላሽ።
3. ከም Magisk ወይ SuperSU ዝኣመሰለ ናይ ሱር ምሕደራ መሳርሒ ምትካል ።

ነፍሲ ወከፍ ስልክን ኦኤስ ቨርዥንን ናቱ ቅልውላው ስለዘለዎ ንውሑዳት ፈተነታት ድሉዋት ኩኑ። እቲ ጽቡቕ ዜና፡ ሓደ መሳርሒ ሱር ምስ ገበረ፡ ብሓፈሻ ነቲ ፋርምዌር ኣብ ፋብሪካ ዳግማይ እንተዘይተሰሪዕካዮ ወይ እንተዘይኣዕቢኻዮ፡ ከምኡ እዩ ዝጸንሕ። ድሕሪ ዳግማይ ምጅማር ናይ iOS ጀይልብሬክ ክጠፍእ ከም ዝኽእል ኣብ ግምት ኣእቱ-ስለዚ ኣንድሮይድ ሓደ ሓደ ግዜ ንፈተነ ዝያዳ ቀጻሊ መድረኽ የቕርብ።

ኩሉ ግዜ ንፍሉይ ስልክኻ ዝእመን መምርሒታት ተኸተል-ዘይግቡእ ሱር ምግባር ነቲ ሶፍትዌር ከበላሽዎ ወይ ናይ ጸጥታ ቀዳዳት ከእቱ ይኽእል። ከምኡ’ውን ብርግጽ ቅድሚ ምጥላቕካ ዳታኻ ምትሕብባር ግበር ! ኣብነት ናይ ፒክሰል 3ሀ ሱር ምግባር

ፕሮክሲ

ከም በርፕ ሱት ዝኣመሰለ ፕሮክሲ ከም “ስፓይግላስ”ካ ሕሰቦ። ኩሉ እቲ ካብቲ ኣፕ ዝኣቱን ዝወጽእን ትራፊክ ክትሪኦን ክትቅይሮን የኽእለካ። ውሑስ ዘይኮነ ርክብ፡ ጉድለት ዘለዎ ምርግጋጽ ምርግጋጽ ወይ ጽላሎታዊ ሕቶታት ክትሕዝ ኢኻ። ንሞባይል ዝኸውን ፕሮክሲ ምድላው ኣብ iOSን Androidን ተመሳሳሊ እዩ። ንነፍሲ ወከፍ መድረኽ ወግዓዊ መምርሒታት ኣብዚ ክትረኽብዎ ትኽእሉ ኢኹም ።

ነገራት ምስ ዝተወሰኑ ማዕቀፋት ብልሓት ይረኽቡ፤

• Xamarin ሓደ ሓደ ግዜ ብሰንኪ ብሕታዊ ኔትወርክ ላይብረሪታት ንናይ ስርዓት-ዓቐን ፕሮክሲ ቅጥዕታት ዕሽሽ ይብሎ።

• ፍሉተር ንፕሮክሲታት ከኽብር ይኽእል እዩ ግን ምስክር ወረቐት ፒኒንግ ከገድድ ይኽእል እዩ፣ ትራፊክ ንኸይትርኢ ይዓግተካ።

  
  

ነዞም መሰናኽላት ንምስጋር፡ ነቲ ኮድ ክትቅይሮ ትኽእል ኢኻ፡ ከም Frida ወይ Objection ዝኣመሰሉ መሳርሒታት ተጠቒምካ ፒኒንግ ከተጥፍእ ወይ ድማ ትራፊክ ንምሓዝ ሪቨርስ ፕሮክሲታት (ንኣብነት ፡ mitmproxy ) ከተቕውም ትኽእል። ኣቀራርባኻ ምትዕጽጻፍ ኣካል ናይቲ ምዝንጋዕ እዩ!

ኣፕ ምትካል

እቲ ኣፕ ገና ኣብ Google Play Store እንተዘይሃልዩ-ንpentests ልሙድ-ንሳይድሎድ APK ፋይል ክህልወካ ተኽእሎ ኣሎ። ነቲ APK ብመንገዲ Google Drive ወይ ብቐጥታ ብናይ ምውራድ ሊንክ ከተካፍሉ ትኽእሉ ኢኹም። ካልእ ምቹእ ኣማራጺ ድማ Firebase App Distribution ምጥቃም ኮይኑ፡ እዚ ድማ ንመዳርግቲ ኣካላት ዕድመ ብምልኣኽ ፈተነታት የዳሉ።

iOS

ኣብ iOS ውን ፊዚካዊ መሳርሒ ዝበለጸ ሓቀኛ ናይ ፈተነ ተመኩሮ የቕርብ። ኣብ ሃርድዌር-ፍሉያት ባህርያት ከም Face ID , Touch ID , ከምኡ’ውን ሴንሰራት ክትጥሕል ትኽእል ኢኻ፡ ከምኡ’ውን ክውንነታዊ ናይ መርበብ ምትእስሳር ክትሕዝ ትኽእል። ውልቃዊ መሳርሒ ትገዝእ ወይ ትጥቀም እንተኾንካ ፡ ንጀይልብሬክ ዝቐለሉ ምዃኖም ዝፍለጡ ሞዴላት ኣብ ግምት ኣእቱ (ኩለን ኣይፎናት ነዚ መስርሕ ብማዕረ ምሕዝነት ስለዘይኮና)። ቨርቹዋል መሳርሒታት iOS እንተድኣ ኣድልዩካ ፡ ኮረሊየም ሓያል ኣብ ደበና ዝተመርኮሰ ፈተነታት ይህብ፡ ዋላ እኳ ነጻ እንተዘይኮነ። መብዛሕትኦም ፈተንቲ ክሳብ ሕጂ ንዕሙቕ ዝበለ ምፍታሽ ኣብ ኣካላዊ መሳርሒ ይምርኮሱ።

ቤት ማእሰርቲ ምፍራስ

iOS Jailbreaking ብዙሕ ከምቲ ኣፕል ኣብ መሳርሒታታ እተእትዎ መዕጸዊ ምእላይ ኮይኑ ይስምዓካ። ሱር ፍሉይ መሰላት ትረክብ፣ ምትዕርራይ ክትተክል፣ ሕቡእ ፋይላት ማህደር ክትድህስስ ወይ ምዕቡላት ፔንስቲንግ ስክሪፕት ከተካይድ የኽእለካ። ህቡባት መሳርሒታት unc0ver ን Checkra1n ን ይርከብዎም። እቲ ዝበለጸ ምርጫ ኣብ iOS ቨርዥንካን ሞዴል መሳርሒኻን ይምርኮስ።

ዘክር፥

• ሓደስቲ መሳርሒታት ንጀይልብሬክ ዝኸበዱ ክኾኑ ይኽእሉ።
• ገለ ጀይልብሬክስ ካብ ሪቦት (“semi-untethered”) ኣይድሕኑን እዮም።
• ኩሉ ግዜ ቅድሚ ምስ ሲስተም ፋይላት ምትሕውዋስካ ንኣይፎንካ ባክኣፕ ግበሮ ።

ከምኡ’ውን መሳርሒኻ ዳግማይ ክጅምር ከሎ ዝተወሰኑ ናይ ጸጥታ ንብርክታት ብኣውቶማቲክ ከም ብሓድሽ ከም ዝንቀሳቐሱ ኣስተውዕል፣ ስለዚ ኣብ ነፍሲ ወከፍ ሓይሊ ኣብ እትህቦ እዋን ዳግማይ ጀይልብሬክ ክትገብር ከድልየካ ይኽእል እዩ።

ኣፕ ምትካል

ናይ iOS መተግበሪታት ብ IPA ፋይላት ይመጹ-ምስ ኣብ ኣንድሮይድ ዝርከቡ APKs ዝመሳሰል እዩ። ኣብ ጀይልብሮከን ስልኪ፡ ከም Filza ዝኣመሰሉ ፋይል ማናጀር ወይ ከም Sideloadly ዝኣመሰሉ ኣፕስ ተጠቒምካ IPAs ክትተክል ትኽእል ኢኻ። ንዝያዳ ወግዓዊ መስመር፡ ኣዳለውቲ መብዛሕትኡ ግዜ ኣብ TestFlight ይምርኮሱ፡ እዚ ድማ ንፈተንቲ ብኢመይል ክዕድሙ የኽእሎም-ነቲ መላግቦ ጥራይ ምጥዋቕ፡ iOS ድማ ነቲ ዝተረፈ ይሕዞ።

ከባቢኻ ብግቡእ ምድላው-ቅኑዓት መሳርሒታት (ቨርቹዋል ወይ ፊዚካዊ) ምምራጽ፡ ፕሮክሲ ምውቃርን ከመይ ጌርካ ኣፕስ ብጎኒ ከም እትጽዕኖ ምርዳእ- ንዓሚቕ ምጥላቕ ናብ ውሽጣዊ ኣሰራርሓ ሓደ ኣፕ ድሉው ምዃንካ የረጋግጽ። ገለ ምትዕጽጻፍ ክወስድ ይኽእል እዩ፡ ግን እቲ ፍጹም ኣወዳድባ ምስ ረኸብካ፡ እቲ ሓቀኛ ፔንስቲንግ ክጅምር ይኽእል እዩ!

ስታትቲካዊ ትንተና (SAST)

ሕጂ ናብ ምምርማር እቲ ኣፕ ባዕሉ ንሰግር-ምሉእ ብምሉእ ከይተሰርሐ። እዚ ቅድሚ ናብ ውሽጢ ምእታውካ ፕላን ካስትል ምንባብ ማለት እዩ። ኣብ ኮድ ወይ ኮንፊግር ፋይላት ብሃርድኮድ ዝተሰርሑ ምስጢራት ፣ ውሑስ ዘይኮኑ ውቅርታት ፣ ከምኡውን ካልእ ጉዳያት ንደሊ።

ከተተኩረሎም ዘለና ቁልፊ መዳያት

1. ሓርድኮድ ዘለዎም ምስጢራት

   ኤፒኣይ መፍትሕታት፡ ቶከናት፡ መረጋገጺታትን ምስጢራዊ መፍትሕታትን ሓደ ሓደ ግዜ ብቐጥታ ኣብቲ ምንጪ ኮድ ይውድኡ። መጥቃዕቲ ዝፍጽሙ ሰባት ነቲ ኣፕ ሪቨርስ ኢንጅነሪንግ እንተገይሮምሉ፡ ነዚ ምስጢራት ብውሑድ ጻዕሪ ክምንጥልዎን ተጠቀምቲ ወይ ኣገልግሎት ክመስሉን ይኽእሉ።

2. ውሑስ ዘይኮኑ ውቅርታት

   ካብ መጠን ንላዕሊ ዝፍቀድ ፍቓድ፡ ናይ ምእራም ሰንደቕ ዕላማታት ተነቒሉ ዝተገደፈ፡ ወይ ዘይግቡእ ምፍራም ኩሎም ኣብ ዕጥቂ ኣፕካ ቀዳዳት ክገብሩ ይኽእሉ። ሓደ ቅጥዒ-ከም NSAllowsArbitraryLoads ኣብ iOS Info.plist ወይ android:debuggable="true"-ንመጥቃዕቲ ሰብ ኣብ ማእከል (MITM) ወይ ዘይተሓለወ ምእራም ማዕጾ ክኸፍት ይኽእል።

3. ተሃዋሲ ዳታ ምቅላዕ

   ኣብቲ መሳርሒ ብግልጺ ጽሑፍ ናይ ክፍለ ግዜ ቶከናት ወይ ውልቃዊ ሓበሬታ ምኽዛን (መዝገብ፡ ዝተኻፈለ ምርጫታት፡ ከባብያዊ ፋይላት) ንመዓት ዝኸውን ኣሰራርሓ መግቢ እዩ። ዝኾነ ኣካላዊ ርክብ ዘለዎ ወይ ሱር ዝሰደደ/ጀይልብሮክ ዘለዎ ስልኪ ዘለዎ ሰብ፡ ንየው ነጀው ስሒቡ ክቡር ዳታ ክሰርቕ ይኽእል እዩ- ዝኾነ ኣረሜናዊ ሓይሊ ኣየድልን።

4. ኣፕ ሎጂክን ጉድለታትን

   መብዛሕትኡ ግዜ፡ እቶም ሱር ጉዳያት ካብቲ ባህርያት ብኸመይ ከም ዝትግበሩ እዮም ዝመጹ። ኣገደስቲ ምፍታሻት-ከም ምርግጋጽ-ምስ ዝጎድሉ ወይ ብጥብቂ ኣብ ዘይትግበሩሉ እዋን፡ መጥቃዕቲ ዝፍጽሙ ሰባት ንመከላኸሊታትካ ብቐሊሉ ክሓልፍዎ ይኽእሉ። ብተመሳሳሊ ድኹማት ክሪፕቶግራፊክ ተግባራት ወይ ውሑስ ዘይኮኑ ኣካላት ኣፕ እውን ንዝኾነ ኣፕካ ዝምርምር ሰብ ህይወቱ ቀሊል ክገብሮ ይኽእል እዩ።

ዝርዝር ምፍታሽ MSTG

መምርሒ ፈተነ ድሕነት ሞባይል (MSTG) ንስታቲካዊ ትንተና ብኣገባብ ክትምክቶ ዝሕግዘካ ዕሙቕ ዝበለ ዝርዝር መፈተሺ የቕርበልካ፤

• [ ] MSTG-STORAGE-1 : ተሃዋሲ ዳታ ኣብቲ መሳርሒ ብዘይ ምስጢራዊ ኣይኽዘንን እዩ።
• [ ] MSTG-STORAGE-2 : ኣብ ሓባራዊ መኽዘን ዝኾነ ተሃዋሲ ዳታ ኣይኽዘንን እዩ።
• [ ] MSTG-CRYPTO-1 : ግቡእ ኣጠቓቕማ ክሪፕቶግራፊክ ኣልጎሪዝምን ቤተ-መጻሕፍትን።
• [ ] MSTG-NETWORK-1 : ውሑስ ናይ ርክብ መስመራት (ንኣብነት፡ HTTPS/TLS)።
• [ ] MSTG-CODE-1 : ኣብ ምንጪ ኮድ ብሃርድኮድ ዝተሰርሑ ምስጢራት ዘይምህላው።
• [ ] MSTG-CODE-3 : ኮድ ምድንጋር ብግቡእ ይትግበር።
• [ ] MSTG-RESILIENCE-1 : መከላኸሊ ኣንጻር ሪቨርስ ኢንጅነሪንግ።
• [ ] MSTG-RESILIENCE-2 : ናይ ምእራም ዓቕሚ ኣብ ምፍራይ ተሰናኺሉ ኣሎ።
• [ ] MSTG-PRIVACY-1 : ብግቡእ ኣተሓሕዛ ፍቓድ ተጠቃሚን ናይ ብሕቲ ዳታን።

መሳርሒታት ሳስት

ዝተፈላለዩ መሳርሒታት ነቲ ኣፕ ከይሰራሕካ ኮድካ፡ ኮንፊገስካን ባይነሪኻን ክትቆርጾ ክሕግዙኻ ይኽእሉ እዮም፤

MobSF (ማዕቀፍ ድሕነት ሞባይል)

ኣጠቓቕማ : APK/IPA ስርዓዮ እሞ MobSF ዝርዝር ጸብጻብ ከውጽእ እዩ: ክህልዉ ዝኽእሉ ጌጋ ውቅርታት፣ ጥርጡራት ፍቓድ፣ ወይ ብሃርድኮድ ዝተሰርሑ ምስጢራት ክዝርዝር እዩ።

ቦነስ : ገለ ዳይናሚክ ባህርያት እውን ስለዘለዎ ጽፉፍ ኩሉ ኣብ ሓደ ፍታሕ ይገብሮ።

APKTool (ኣንድሮይድ)

Use : Decompile ድሕሪኡ ዳግማይ ምጥርናፍ ሓደ APK ኣብ ውሽጡ እንታይ ከምዘሎ ንምርኣይ። እዚ AndroidManifest.xml ንምንባብ፡ ጸጋታት ንምምርማር፡ ወይ ነቲ ኣፕ ንምትዕርራይ ፍጹም እዩ።

apktool d app.apk -o output_director

JADX (ኣንድሮይድ)

ኣጠቓቕማ : ዳልቪክ ባይትኮድ (.dex) ናብ ዝንበብ ጃቫ ምቕያር። ከም ኤፒኣይ መፍትሕታት ዝኣመሰሉ ክህልዉ ዝኽእሉ ተቓላዕነት ዘለዎም መስመራት ኮድ ንምፍላጥ ብሉጽ እዩ።

jadx app.apk -d output_directory

ክላስ-ዳምፕ፣ ሆፐር፣ ግሂድራ (iOS)

ኣጠቓቕማ : Objective-C class headers (Class-Dump) ኣውጽእ ወይ iOS binaries (Hopper/Ghidra) ምፍንጫል። እቲ ኣፕ Swiftified እንተኾይኑ፡ Swift metadata እውን ክትሪኢ ኢኻ።

ኣብነታት

ኣንድሮይድ

• ሓበሬታ ምግላጽ

• ናይ ኣንድሮይድ ኣፕስ ካብ APK ፋይላቶም ከም APKTool , JADX , ወይ MobSF ዝኣመሰሉ መሳርሒታት ተጠቒምካ ክእለዩ ይኽእሉ ።

  እዚ መስርሕ እዚ ምንጪ ኮድ፣ ኣቃውማ መተግበሪን ከም AndroidManifest.xml ወይ .smali ፋይላት ዝኣመሰሉ ተሃዋሲ ኣካላትን ዘቃልዕ ኮይኑ፣ እዚኦም ድማ ንኣፕ ሎጂክን ፍቓድን ከቃልዑ ይኽእሉ።

  
  

• ንጹር ጽሑፍ ትራፊክ ምፍቃድ

<application android:usesCleartextTraffic="true" />

መጥቃዕቲ ዝፍጽሙ ሰባት፡ ንዘይምስጢራዊ (HTTP) ርክብ ንሰማዒ ወይ ምትዕንቓፍ ክጥቀሙሉ ይኽእሉ።

• ዲባግ ዝግበረሉ መተግበሪ

<application android:debuggable="true" />

ዝኾነ መሳርሒ (ወይ ኤሙለተር) ዘለዎ ሰብ ዲባገር ኣተሓሒዙ ኣብ ስሱዕ ዳታ ወይ ሎጂክ ክምርምር ይኽእል።

• ሃርድኮድ ዘለዎም ኤፒኣይ መፍትሕታት

public class ApiClient { private static final String API_KEY = "12345-abcdef-67890"; private static final String API_SECRET = "superSecretPassword123!"; }

ብAPKTool ወይ JADX ቅልጡፍ ምፍንጫል ነዞም መፍትሕታት የቃልዕ፣ እዚ ድማ መጥቃዕቲ ዝፍጽሙ ሰባት ነቲ ኣፕ ኣምሲሎም ወይ ብዘይፍቓድ ኣገልግሎት ድሕረ ባይታ ክረኽቡ የኽእሎም።

• ተሃዋሲ ዳታ ኣብ ንጹር ጽሑፍ

<map> <string name="session_token">abc123XYZ987</string> <string name="user_email">user@example.com</string> </map>

ቶከናት ወይ ዝርዝር ተጠቃሚ ብግልጺ ጽሑፍ እንተተዓቂቡ፡ ሱር ዝሰደደ መሳርሒ ብቐሊሉ ከውጽኦም ይኽእል።

iOS

• ብጌጋ ዝተዋቕረ Info.plist

<key>NSAppTransportSecurity</key> <dict>

<key>NSAllowsArbitraryLoads</key> <true/> </dict>

ኣፕል ብነባሪ ውሑስ ርክባት የተግብር፣ ስለዚ ነዚ ምግዳፍ ነቲ ኣፕ ንሓደጋታት MITM ወይ ዘይተመሰጠረ ትራፊክ ይኸፍቶ።

ከም Class-Dump , Hopper Disassembler , ከምኡ’ውን Ghidra ዝኣመሰሉ ናይ ምፍንጫል መሳርሒታት፡ Objective-C ክፍልታት፡ ኣስማት ሜላታትን ክልተኣዊ ፋይላትን ሓዊስካ፡ ትሕዝቶ ፋይል IPA ናይቲ ኣፕ የውጽኡ።

ዳይናሚክ ትንተና (DAST) 1.1.

ስታቲካዊ ትንተና ንፕላን ናይ ሓደ ካስትል ዘጽንዕ እንተኾይኑ ፡ ዳይናሚክ ትንተና ኣብ ውሽጢ እቲ ካስትል ነፍሲ ወከፍ ማዕጾን መስኮትን እናፈተሽካ ምዝዋር እዩ። ነቲ ኣፕ ነካይዶ፡ ከመይ ከም ዝኸይድ ንከታተሎ፡ ዝኾነ ድኽመት ኣብ ሓቀኛ ግዜ ክንምዝምዞ እንተኽኢልና ድማ ንርኢ።

ከተተኩረሎም ዘለና ቁልፊ መዳያት

1. መርበብ ሓበሬታ ርክብ

   ኣብ እዋን ትራንዚት ዳታ ናይቲ ኣፕካ ከምዘይፈስስ ኣረጋግጽ። ኣፕካ ኣብ ኤችቲቲፒ ወይ ብዘይግቡእ ዝተዋቕረ ኤችቲቲፒኤስ ዝምርኮስ እንተኾይኑ፡ ሓደ መጥቃዕቲ ዝፍጽም ሰብ ነቲ ዳታ ክኣቱ፡ ክዓግቶ ወይ ከይተረፈ ክቕይሮ ይኽእል። ንዝጎደለ ወይ ድኹም SSL/TLS certificate pinning , ንኣፕካ ንመጥቃዕቲ ሰብ-ኣብ-ማእከላይ (MITM) ምቅላዕ እውን ከምኡ።

2. ምርግጋፅን ፍቓድን ምሃብ

   ዋላ’ውን ናይ መእተዊ ስክሪናትካን ናይ ተጠቃሚ ተራኻን ኣብ ወረቐት ድምጺ እንተመሰለ፡ እቲ ሓቀኛ ፈተና ሓደ ሰብ ኣብ ግዜ ምዝዋር ክሓልፎም ይኽእል ድዩ ኣይክእልን እዩ። ንኣብነት ሓደ መጥቃዕቲ ዝፍጽም ሰብ ንናይ ክፍለ ግዜ ቶከናት ዳግማይ ክጥቀመሉ ይኽእል ድዩ ወይስ ክግምቶ ይኽእል ድዩ? እቲ ኣፕ ብትኽክል ግዜ ይውዳእ ድዩ ወይስ ንዘልኣለም ክፉት ይገብሮ?

3. ናይ ምዝዋር ግዜ ምሉእነትን ድሕነትን ምፍታሽ

   ብዙሓት ኣፕስ ሓደ መሳርሒ ሩት (ኣንድሮይድ) ወይ ጀይልብሮክ (iOS) እንተኾይኑ ክፈልጡ ይፍትኑ እሞ ድሕሪኡ ንገለ ባህርያት ምዝዋር ወይ ምዕጋት ኣብዮም። ኣብ እዋን ዳይናሚክ ትንተና፡ ኣብ ኮድ ናይቲ ኣፕ ብምትእስሳር ነዞም ቼክታት ክትሓልፎም ትኽእል እንተኾንካ ክትዕዘብ ትደሊ፡ ስለዚ ብዝኾነ መንገዲ ምፍታን ክትቅጽል ትኽእል። ነዞም ስጉምትታት ብቐሊሉ ክትሓልፎም እንተኺኢልካ፡ መጥቃዕቲ ዝፍጽሙ ሰባት እውን ይኽእሉ እዮም።

4. ኣብ እዋን ምፍጻም ዳታ ምፍሳስ

   እቲ ኣፕ ስሱዕ ሓበሬታ (ከም ፓስዎርድ ወይ ቶከን) ብግልጺ ጽሑፍ ይምዝግብ ድዩ? ኣፕስ ክትቅይር ወይ ነቲ መሳርሒ ድሕሪት ክትቅይሮ ከለኻ፡ እቲ ብሚስጢራዊ ዳታ ዝተቐረጸ ስክሪን ጌና ይርአ ድዩ? እዚ ዓይነት ብዘይ ፍላጥ “ናይ እንጀራ” ኣሰር ንመጥቃዕቲ ዝፍጽሙ ሰባት ትኽ ኢሉ ናብቲ ስንቂ ክመርሖም ይኽእል።

5. ኤፒኣይን ሰርቨር-ሳይድ ምርግጋጽን

   እቲ ኣፕ ብዓይኒ ዓሚል ውሑስ ክመስል ይኽእል እዩ፡ እንተኾነ ግን እቲ ድሕሪት ኤፒኣይ ንፍቓድ ተጠቃሚ ወይ እታው እንተዘይኣረጋጊጹ፡ ሓደ መጥቃዕቲ ዝፍጽም ሰብ ኣብ በረራ ንዝቐርቡ ሕቶታት ብምቕያር ዘይተፈቕደ መእተዊ ንምርካብ ወይ ነቲ ስርዓት ክሰብሮ ይኽእል። ንኽልቲኡ ባህርያት ዓሚልን ኣገልጋልን ብሓባር ምፍታን ወሳኒ እዩ።

ዝርዝር ምፍታሽ MSTG

መምርሒ ፈተነ ድሕነት ሞባይል (MSTG) ዳይናሚክ ትንተና እውን ይሽፍን እዩ። ኣብ ኣእምሮኻ ክትሕዞም ዘለካ ገለ ቸክታት እነሆ፤

• [ ] MSTG-RESILIENCE-1 : ኣፕ ንናይ ምትዕንቓፍ ወይ ናይ ምግልባጥ ምህንድስና ፈተነታት ይፈልጥን ይከላኸልን እዩ።

• [ ] MSTG-RESILIENCE-2 : ኣፕ ሱር ዝሰደዱ ወይ ጀይልብሮክ ዝኾኑ መሳርሒታት ይፈልጥ።

• [ ] MSTG-RESILIENCE-3 : ኣፕ ኣብ ግዜ ምዝዋር ምሉእነት ኮዱን ጸጋታቱን የረጋግጽ።

• [ ] MSTG-NETWORK-1 : ኣፕ ንኹሉ ትራፊክ መርበብ ሓበሬታ ሓያል ምስጢራዊ ስእሊ ብምጥቃም ምስጢራዊ ይገብሮ።

• [ ] MSTG-NETWORK-3 : ኣፕ ኣብ ኣድላይነቱ ምስክር ወረቐት ፒኒንግ የተግብር።

• [ ] MSTG-PLATFORM-1 : ኣፕ ኣብ ፕላትፎርም ድሕንነት ኣገባባት ጥራይ ኣይምርኮስን ኮይኑ ስጉምትታት ጸጥታ ብናጻ የተግብር።

• [ ] MSTG-AUTH-2 : ኣፕ ንናይ ክፍለ ግዜ ግዜ ምውዳእን ናይ ተጠቃሚ ዳግማይ ምርግጋጽ ጠለባትን ብግቡእ የተግብር።

• [ ] MSTG-STORAGE-4 : ኣፕ ስሱዕ ዳታ ናብ ስርዓተ ምዝገባ ኣይምዝግብን እዩ።

• [ ] MSTG-STORAGE-5 : ኣፕ ስሱዕ ዳታ ኣብ ውሑስ ዘይኮነ ቦታ ኣይዕቅብን እዩ።

• [ ] MSTG-CRYPTO-1 : ኣፕ ንናይ ምዝዋር ግዜ ስርሓት እዋናዊ ክሪፕቶግራፊክ ኣልጎሪዝም ይጥቀም።

  
  

ነዚኦም ከም ፍኖተ- ካርታ ናይ ሓቀኛ ዓለም ፈተናታትካ ሕሰቦም። ኣብ ነፍሲ ወከፍ ማዕጾን መስኮትን ብስርዓት ክትሃርም ይሕግዙኻ፡ ተዓጽዩ ከምዘሎ ንምርግጋጽ።

መሳርሒታት ዳስት

ዘይከምቲ ኣብ ምፍታሽ ኮድ ዘተኮረ SAST፡ DAST ኣብ ዙርያ ምዝዋር ናይቲ ኣፕን ምፍታሽን እዩ ዝዘውር። ኣብ ታሕቲ ነቲ መስርሕ ስሉጥ ንምግባር ዝሕግዙ ህቡባት መሳርሒታት ኣለዉ፤

በርፕ ሱት / ኦዋስፕ ዛፕ

ኣጠቓቕማ : ክልቲኦም ኣብ መንጎ እቲ ኣፕን ድሕረ-ባይታ ኣገልገልትን ትራፊክ ክትሕዝን ክትቅይርን ዘኽእሉኻ ዝዓግቱ ፕሮክሲታት እዮም። ውሑስ ዘይኮኑ መወዳእታ ነጥብታት፡ ጉድለታት ክፍለ-ግዜ፡ ወይ ምፍሳስ ዳታ ንምፍላጥ ምቹእ እዩ።

ፍሪዳ

ኣጠቓቕማ : ኣብ ምዝዋር መስርሓት ዝኣቱ ዳይናሚክ መሳርሒታት መሳርሒ፣ SSL ፒኒንግ፣ ሱር/ጀይልብሬክ ምፍላጥ፣ ወይ ካልእ ብወገን ዓሚል ዝግበር ገደባት ክትሓልፍ ዝሕግዘካ።

ልሙድ ፍሪዳ ትእዛዛት።

ድሮዘር (ኣንድሮይድ)

ኣጠቓቕማ : ኣብ ስካን ናይ ኣንድሮይድ ክፍልታት ከም Activities, Services, Broadcast Receivers, ከምኡ’ውን Content Providers ንናይ ጸጥታ ድኽመታት ዘተኮረ እዩ።

ልሙዳት ትእዛዛት ድሮዘር

ተቓውሞ

ኣጠቓቕማ : ኣብ ፍሪዳ ዝተሃንጸ ኮይኑ፡ ግን ንዕማማት ከም ምዕጻው SSL pinning ወይ ምድህሳስ ናይቲ ኣፕ ፋይል ሲስተም ዝኣመሰሉ ቀለልቲ ትእዛዛት ኣለዎ። ስክሪፕቲንግ ጉሩ እንተዘይኮይንካ ፍጹም እዩ።

ልሙድ ናይ ተቓውሞ ትእዛዛት።

ኣብነታት

ኣንድሮይድ

• መርበብ ምቁራጽን ምምሕያሽን

ትራፊክ ኣንድሮይድ ብመንገዲ ከም Burp Suite ዝኣመሰለ መሳርሒ ብምምራሕ፡ ፈተንቲ ንሕቶታት ክዓግቱን ክቕይሩን ይኽእሉ። ንኣብነት እቲ ኣፕ ብኤችቲቲፒ መረጋገጺታት እንተሰዲዱ ወይ ድማ ናይ TLS ምስክር ወረቐት ብግቡእ ከረጋግጽ እንተዘይክኢሉ፡ ሓደ መጥቃዕቲ ዝፍጽም ሰብ ኣብ ማእከል (MITM) መጥቃዕቲ ክፍጽም ይኽእል።

POST /login HTTP/1.1 Host: api.example.com Content-Type: application/json { "username": "test_user", "password": "secret_password" }

ናይ ክፍለ ግዜ ቶከናት፣ ውልቃዊ ዳታ፣ ወይ ናይ ክፍሊት ሓበሬታ ክቃላዕ ወይ ክዕንቀፍ ይኽእል እዩ።

• ስሱዕ ዳታ ዘቃልዕ ሎግስ ዲባግ

03-09 12:34:56.789 1234 5678 I MyAppLogger: User token = "abc123XYZ987" 03-09 12:34:56.789 1234 5678 I MyAppLogger: Payment info: "card_number=4111111111111111"

ዝኾነ ኤዲቢ (ወይ ጐዳኢ ኣፕ) ዘለዎ ሰብ ነዞም ምዝገባታት ኣንቢቡ ክምዝምዞም ይኽእል ነይሩ።

• ውሕስነት ዘይብሎም ንጥፈታት / ኣቕረብቲ ትሕዝቶ

  
  

Drozer ብምጥቃም፡ ፈተንቲ ናብ ወጻኢ ዝለኣኹ ንጥፈታት ወይ ዝኾነ ምርግጋጽ ዘየድልዮም ኣቕረብቲ ትሕዝቶ ክረኽቡ ይኽእሉ።

drozer console connect run app.provider.query

content://com.example.app.provider/users

ዳታ ብዘይ ግቡእ ፍቓድ እንተተመሊሱ፡ መጥቃዕቲ ዝፍጽሙ ሰባት ናይ ሓደ ተጠቃሚ ሓበሬታ ከንብቡ ወይ ክቕይሩ ይኽእሉ።

• ሱር ምልላይ ምሕላፍ

ከም Frida ወይ Objection ዝኣመሰሉ መሳርሒታት ኣብ ግዜ ምዝዋር ንroot detection ወይ SSL pinning checks ክትሓልፍ የኽእሉኻ፤

frida -U -n com.example.app --eval "..." objection -g com.example.app explore android sslpinning disable android root disable ios sslpinning disable ios root disable

ኣብ ሱር ዘለወን ስልክታት ዝርከቡ መጥቃዕቲ ዝፍጽሙ ሰባት፡ ምፍታን ወይ ኣብ ተሃዋሲ ተግባራት ምትእስሳር ክቕጽሉ፡ ምስጢር ክገልጹ ወይ ኣብ ስነ-መጐት ኣፕ ምትዕንቓፍ ክቕጽሉ ይኽእሉ።

iOS

• ጀይልብሬክ ዲቴክሽን ባይፓስ

ብዙሓት ናይ iOS ኣፕስ ጀይልብሮክ ዝኾነት ስልኪ እንተረኺቦም ኣይሰርሑን እዮም። ብ Frida , ነቲ ናይ ምፍላጥ ሜላ ክትሕንጥጦን ክትሽፍኖን ትኽእል ኢኻ፤

Interceptor.attach(Module.findExportByName(null, "jailbreakDetectionFunction"), { onEnter: function (args) { console.log("Bypassed jailbreak check!"); // Force return a 'clean' status } });

መጥቃዕቲ ዝፍጽሙ ሰባት ነቲ ኣፕ ኣብ ሓደጋ ዝወደቑ መሳርሒታት ከካይዱን ኣብ ዳታ ወይ መንጠልጠሊታት ክምርምሩን ይኽእሉ።

• ኣብ ስርዓት ምዝገባታት ዝርከብ ተሃዋሲ ዳታ

2023-03-09 12:34:56.789 MyApp[1234:5678] Payment info: card_number=4111111111111111 2023-03-09 12:34:56.789 MyApp[1234:5678] session_token=abc123XYZ987

ኣብ ጀይልብሮክ መሳርሒታት-ወይ ብመንገዲ ናይ ደገ ምዝገባ ምእካብ-ኣጥቃዕቲ ብቐጥታ ስሱዕ ዳታ ይዓጽዱ።

ልሙዳት ብድሆታት ኣብ ሞባይል ጴንጠስቲንግ

• Platform Fragmentation : መሳርሒታት ኣንድሮይድ ብኦኤስ ቨርዥን፣ ብሕታዊ ሮምን ብናይ ኣፍረይቲ ምምሕያሻትን ኣዝዮም ይፈላለዩ፣ እዚ ድማ ንፈተነታት ዝተሓላለኸ ይገብሮ።
• ስጉምትታት ድሕነት መተግበሪ : ከም SSL pinning, root/jailbreak detection, and obfuscation ዝኣመሰሉ ባህርያት ንpentesting ክዕንቅፉ ይኽእሉ።
• ውሱን ምብጻሕ ምንጪ ኮድ : ጸሊም-ሳንዱቕ ፈተነ መብዛሕትኡ ግዜ ብከም APKTool ወይ JADX ዝኣመሰሉ መሳርሒታት ሪቨርስ ኢንጅነሪንግ የድሊ፣ እዚ ድማ ግዜ ክወስድ ይኽእል።
• ዳይናሚክ ትንተና ገደባት : ሳንድቦክሲንግ፣ መከላኸሊ መዘክርን ኣድላይነት ሱር ዝሰደዱ/ጀይልብሮከን መሳርሒታትን ንናይ ሓቂ ዓለም ዋሕዚ ስራሕ ፈተነታት የተሓላለኹ።
• ድሕነት መርበብን ምፍታሽ ትራፊክን : SSL ፒኒንግ፣ ምስክር ወረቐት ምጽዳቕ፣ ወይ VPNs ንመደበኛ MITM ፕሮክሲታት ክኽልክሉ ይኽእሉ። ከም Frida , Burp Suite , ከምኡ ውን mitmproxy ዝኣመሰሉ መሳርሒታት ንbypass ኣገደስቲ ይኾኑ።

ብተደጋጋሚ ዝሕተቱ ሕቶታት (FAQ)

• ሞባይል ፔንስቲንግ እንታይ እዩ?

  ንሱ ድማ፡ ኣብ ሓቀኛ ዓለም ዝፍጸም መጥቃዕቲ ብምምሳል፡ ሓደ ናይ ሞባይል ኣፕ ክሳብ ክንደይ ውሑስ ምዃኑ ምፍታን'ዩ- ቅድሚ እቶም መጥቃዕቲ ዝፍጽሙ ሰባት ዝኾነ ስንጥቆታት ምድላይ።

• ስለምንታይ እዩ ሞባይል ፔንቴስቲንግ ኣገዳሲ ዝኸውን?

  ስማርትፎናት ብዙሕ ውልቃውን ፋይናንሳውን ዳታ ስለዘለወን፡ ንገበነኛታት ሳይበር ቀንዲ ዕላማ እየን።

• ቀንዲ ስጉምትታት እንታይ እዮም?

  • ቁጽጽር ዝግበረሉ ሃዋህው ምድላው፣ ስታትቲክ ትንተና (SAST) ምግባር፣ ዳይናሚክ ትንተና (DAST) ምግባር፣ ርኽበታት ምስናድን ድሕሪ ምእራም ዳግማይ ምፍታንን።

• እንታይ መሳርሒታት የድልዩኒ?

  Burp Suite ወይ ZAP ንመዕጸዊ ትራፊክ፡ MobSF ንስካን፡ APKTool/JADX (Android)፡ Class-Dump/Hopper (iOS)፡ ተወሳኺ ከም Frida ወይ Objection ዝኣመሰሉ ናይ ምትእስሳር መሳርሒታት።

• ክንደይ ግዜ ኢና ክንሓስብ ዘለና?

  ድሕሪ ዓበይቲ ምዕባለታት፡ ሓደስቲ ባህርያት፡ ወይ ርኡይ ናይ ትሕተ ቅርጺ ለውጢ። ብዝበለጸ ንቐጻሊ ምፍታሽ ኣብ CI/CD ምውህሃድ።

• ልሙዳት ተቓላዕነት እንታይ እዮም?

  ውሑስ ዘይኮነ መኽዘን ዳታ፡ HTTPS ዘይብሉ፡ ብሓርድኮድ ዝተገብረ ምስጢር፡ ድኹም ምሕደራ ክፍለ-ግዜ፡ ከምኡ’ውን ብጌጋ ዝተዋቕረ ኤፒኣይ።

• ኩሉ ነገር ኣውቶማቲክ ክኸውን ይኽእል ድዩ?

  ናይ ብሓቂ ኣይኮነን። መሳርሒታት ንገለ ስካናት ብኣውቶማቲክ ክገብርዎ ይኽእሉ እዮም፣ ብኢድ ዝግበር ፈተነ ግን ዝያዳ ብልሓት ዘለዎ ናይ ስነ-መጐት ጉድለታት ወይ ዝተሓላለኸ ሕግታት ንግዲ የቃልዕ።

• ንኽልቲኡ ኣንድሮይድን ኣይኦኤስን ክንፍትኖ ኣለና ድዩ?

  እወ፡ ነፍሲ ወከፎም ፍሉይ ናይ ጸጥታ ሞዴላትን መጻወድያታትን ኣለዎም።

• pentest ምግባር ሕጋዊ ድዩ?

  ፍጹም፡ ካብቲ ወናኒ ኣፕ ግሉጽ ፍቓድ እንተሃልዩካ። እንተዘይኮይኑ ዘይሕጋዊ እዩ።

• ካበይ ክጅምር?

  መምርሒ ፈተነ ሞባይል ድሕነት OWASP (MASTG) ኣጽንዕ፣ መሰረታዊ ምግልባጥ ተማሃር፣ ከምኡ’ውን ብክፉት ምንጪ ዘለዎም መተግበሪታት ወይ ናሙና ዕላማታት ተለማመድ።

መደምደምታ

ሞባይል ፔንተስቲንግ ከም ዓቢ ጕዕዞ እዩ —ማርሻታት (መሳርሕታትን መሳርሕታትን ብምእካብ ትጅምር)፣ ድሕሪኡ ነቲ መሬት ትስካውት (SAST)፣ ኣብ መወዳእታ ድማ ነፍሲ ወከፍ ድኹም ቦታ ንምርካብ ብኢድካ ዝግበር ኣቀራርባ (DAST) ትወስድ ። እዚ ብቐጻሊ ብምግባርን ርኽበታትካ ብምሕባርን፡ መተግበሪታትካ ጽኑዓትን ተጠቀምትኻ ውሑሳትን ክኾኑ ኢኻ።

ዘክር: ሶፍትዌር መዓልታዊ ይምዕብል: ስግኣታት እውን ከምኡ። ፔንተስቲንግ ኣክ ቀጻሊ ኣካል ናይ ምዕባለ ህይወትካ ግበሮ-ምኽንያቱ እቲ ዝበለጸ መገዲ ንመንግስቲ ንምውሓስ ንሓለውኻ ፈጺምካ ዘይምግዳፍ እዩ።

ብዛዕባ ደራሲ

እዚ ጽሑፍ ’ ዚ ብኣናስታስያ ቶልካቾቫ ዝተባህለት መሃንድስ ፈተነ ጸጥታ ኣብ ሰኩርኖ ዝተዳለወ ኮይኑ፡ ብኣሌክስ ሮዝኒያቶቭስኪ ዝተባህለ ሲቲኦ ሰኩርኖ ዝተገምገመ ’ ዩ። ኣናስታስያ ኣብ መርመራ ምእታውን ምምዛን ድሕነትን ልዕሊ ሓሙሽተ ዓመት ናይ ኢድ ተመኩሮ ኣለዎ። ንሳ ኣብ ምፍታን ዌብ ኣፕሊኬሽናት፡ ትሕተ ቅርጺ (ኣብ ውሽጢ ትካልን ኣብ ደበናን)፡ ከምኡ’ውን ሞባይል መድረኻት (iOSን Androidን) ዝነጥፍ ክኢላ እያ። ክእለታ ኣብ ኣገባባት ጸሊም ሳንዱቕ፡ ግራጭ ሳንዱቕን ጻዕዳ ሳንዱቕን ዝሽፍን ኮይኑ፡ ጎኒ ጎኒ ብቕዓት ኣብ ገምጋም ተቓላዕነትን ምግምጋም ድሕነት ምንጪ ኮድን እዩ።

ኣሌክስ ኣብ ልምዓትን ሳይበር ሴኩሪቲን ናይ 7 ዓመት ተመኩሮ ኣለዎ። ንሱ ውሑስ ኣሰራርሓታት ኮዲንግ ንምስጓም ውፉይ ዝኾነ AWS Open-source Contributor እዩ። ክእለቱ ኣብ መንጎ ምምዕባል ሶፍትዌርን ድሕነትን ዘሎ ክፍተት ዝድልድል ኮይኑ፡ ኣብ ምክልኻል ዘመናዊ ዌብ ኣፕሊኬሽናት ክቡር ርድኢት ይህብ።

መምርሒ ሞባይል ጴንጠስቲንግ፡ መወከሲታት

መሳርሕታትን ጸጋታትን

1. ሞባይል-ድሕነት-ማዕቀፍ-MobSF
2. ኣፕክቶል
3. jadx
4. በርፕ ሱት
5. ፍሪዳ
6. ድሮዘር
7. ተቓውሞ
8. ጀኒሞሽን
9. ኮረሊየም ቨርቹዋል ሃርድዌር
10. appledb.dev
11. ሪፍሉተር
12. መድረኽ-መሳርሒታት
13. ማጂስክ
14. ሱር መርማሪ
15. checkra1n ዝብል ጽሑፍ ኣሎ።
16. unc0ver ዝብል ጽሑፍ ኣሎ።
17. ፊልዛ

መምርሕታትን ጽሑፋትን

1. OWASP ሞባይል ብሉጻት 10
2. OWASP ሞባይል ኣፕሊኬሽን ድሕነት
3. ኦዋስፕ ማስትግ
4. NIST SP 800-163 ዝብል ጽሑፍ ኣሎ።
5. ኣንድሮይድ ስቱድዮ ኣውሪድና ንጽዓኖ
6. ንሓደ ኣንድሮይድ መሳርሒ ምስ በርፕ ሱት ክሰርሕ ምውቃር
7. ምስ Burp Suite Professional ንኽሰርሕ ናይ iOS መሳርሒ ምውቃር
8. ምጥፍፋእ ዛማሪን ኣፕስ