به عنوان یک برنامه نویس اندروید چطوری می توانید کارهایی کنید که باعث بالا بردن امنیت اندروید اپلیکیشن شما شود؟ اگر روش هایی بلد هستید که می تواند به شما در این زمینه کمک کند پس نسبت به رقبا یک قدم جلوتر هستید ولی اگر اطلااتی در این زمینه ندارید ما در این مطلب از سری مقاله راجع به برنامه نویسی اندروید می خواهیم شما را با این موضوعات آشنا کنیم. پس تا آخر این مطلب از مجله برنامه نویسیی الکامکو همراه ما باشید.

سیستم عامل اندروید خودش دارای ویژگی های امنیتی داخلی زیادی است در نتیجه، برنامه های ساده اندرویدی که هیچگونه عملیات مربوط به سیستم فایل یا عملیات شبکه را انجام نمی دهند، معمولا به طور پیش فرض امن در نظر گرفته می شوند.

ولی اگر در حال توسعه یک برنامه پیچیده تر هستید و مسئولیت امنیت آن را برعهده دارید و از حریم خصوصی کاربران محافظت می کنید پس حتما به موضوعاتی که در این مقاله اشاره شده توجه کنید. چون در این مقاله امنیت اندروید قصد داریم تعدادی از بهترین روشهایی را که می تواند به ایمن کردن اپلیکیشن اندروید شما موقع ساخت آن کمک کند معرفی کنیم تا به طور کلی کمتر در برابر برنامه های مخربی که ممکن است روی سیستم نصب شوند آسیب ببینند.

افزایش امنیت در ساخت اپلیکیشن‌های اندرویدی، به معنای ایجاد یک برنامه امن و محافظت شده در برابر حملات و نفوذ است. برای افزایش امنیت برنامه شما، می‌توانید از راهکارهای زیر استفاده کنید:

۱- از ذخیره سازی داخلی برای داده های حساس استفاده کنید

هر برنامه اندرویدی دارای یک دایرکتوری ذخیره سازی داخلی است که مسیر آن براساس نام پکیج برنامه است. فایل های داخل این دایرکتوری بسیار ایمن هستند چون به طور پیش فرض از حالت ایجاد فایل MODE_PRIVATE استفاده می کنند. یعنی هیچ برنامه دیگری در دستگاه نمی تواند به فایل ها دسترسی داشته باشد. بنابراین، دایرکتوری ذخیره سازی داخلی بهترین مکان برای ذخیره تمام داده های حساس اپلیکیشن شماست.

برای اینکه بهترین مسیر برای دایرکتوری ذخیره سازی داخلی برنامه را تعیین کنید، توصیه می شود که از روش ()getFilesDir استفاده کنید. هنگامی که مسیر آن را شناختید، ارجاع به فایل های داخل آن به همان سادگی ارجاع به فایل هایی که در داخل پوشه دیگری وجود دارد است. به عنوان مثال ، در اینجا چگونگی ارجاع فایلی به نام myfile.dat در دایرکتوری ذخیره سازی داخلی برنامه  آورده شده است:

File myFile = new File(getFilesDir(), “myfile.dat”);

۲. افزایش امنیت اپلیکیشن اندروید با رمزگذاری داده ها در حافظه خارجی

ظرفیت حافظه های داخلی در دستگاه اندرویدی معمولا محدود است. بنابراین بعضی موقع ها ممکن است چاره ای جز ذخیره کردن اطلاعات حساس در حافظه های خارجی مثل SD کارت ها نداشته باشید.

از آنجا که کاربران و سایر برنامه های دستگاه به طور مستقیم می توانند به داده های ذخیره شده در حافظه های خارجی دسترسی پیدا کنند، این موضوع مهم است که آنها را به صورت رمزگذاری شده ذخیره کنید. یکی از محبوب ترین الگوریتم های رمزگذاری که امروزه توسط توسعه دهندگان مورد استفاده قرار می گیرد، AES با اختصار Advanced Encryption Standard با اندازه کلید ۲۵۶ بیت است.

نوشتن کد برای رمزگذاری و رمزگشایی داده های اپلیکیشن شما که با استفاده از پکیج javax.crypto ، که در Android SDK موجود است، می تواند گیج کننده باشد. بنابراین ، بیشتر توسعه دهندگان استفاده از کتابخانه های شخص ثالث مثل کتابخانه  Facebook’s Conceal را ترجیح می دهند که کار با آن بسیار ساده تر است.

همچنین بخوانید » دوره آموزش دات نت کور مهارت محور با ساخت پروژه های حرفه ای از پایه تا فوق پیشرفته

۳- برای افزایش امنیت اندروید از Intent ها برای IPC استفاده کنید

برنامه نویسانی که به تازگی شروع به ساخت نرم افزارهای اندرویدی کرده اند معمولا سعی می کنند از sockets ، named pipes یا shared files استفاده کنند تا بتوانند همزمان با برنامه های دیگر نصب شده در دستگاه اندرویدی ارتباط برقرار کنند. این رویکردها نه تنها سخت است، بلکه از نظر امنیتی مستعد تهدید هستند. ولی یک روش آسان تر و ایمن تر برای ارتباط درون پردازشی در سیستم عامل Android ، استفاده از intent ها است.

برای ارسال داده به یک کامپوننت خاص در اپلیکیشن، باید یک نمونه جدید از کلاس Intent ایجاد کنید و از روش () setComponent آن استفاده کنید تا هم نام پکیج نیم و هم نام کامپوننت اپلیکیشن مشخص شود. سپس می توانید داده ها را با استفاده از روش ()putExtra  اضافه کنید.

به عنوان مثال، در اینجا می بینید که چطوری رشته Hello World به Activity ای به نام MyActivity فرستاده می شود، که متعلق به پکیج نیم کامل یک برنامه بنام  my.other.app است:

۴- برای امنیت سیستم عامل اندروید از HTTPS استفاده کنید

تمام ارتباطات بین برنامه و سرورهای شما باید از طریق اتصال HTTPS باشد، ترجیحاً از کلاس HttpsURLConnection استفاده کنید. اگر فکر می کنید استفاده از HTTP برای داده هایی که محرمانه نیستند خوب است، سخت در اشتباهید.

بسیاری از کاربران اندروید هر روزه در خیلی از مکان های عمومی به چندین نقطه Wi-Fi بدون وارد کردن رمز متصل می شوند. بعضی از این نقاط ممکن است مخرب باشند. یک کانون مخرب می تواند به راحتی محتوای ترافیک HTTP را تغییر دهد تا برنامه شما رفتار غیرمنتظره ای داشته باشد.

با استفاده از HTTPS، به شرطی که سرور با گواهی صادر شده توسط یک مرجع معتبر گواهی مانند DigiCert یا GlobalSign پیکربندی شود، می توانید مطمئن باشید که ترافیک شبکه شما هم در برابر شنودها و هم در برابر حملات MITM یا man-in-the-middle امن ست.

توضیحات : حملات MITM شیوه‌ای از شنود فعال است که حمله‌کننده، ارتباط مستقلی را با قربانی، برقرار می‌کند و پیام‌های بین آنها را بازپخش می‌کند. به گونه‌ای که آن‌ها را معتقد می‌کند که در یک ارتباط مستقیم و خصوصی با یکدیگر، صحبت می‌کنند؛ در حالی که همه گفتگوهای آنها توسط حمله‌کننده، کنترل می‌شود. حمله‌کننده باید توانایی شنود همه پیام‌های فرستاده شده بین دو قربانی و گذاشتن پیغام تازه را داشته باشد که در بسیاری از شرایط درست کار کنند.  منبع ویکی پدیا

اگر اپلیکیشن شما دارای کد شبکه ای زیادی است و می ترسید که ناخواسته بعضی از داده ها را به صورت متن واضح ارسال کنید، باید برای یافتن چنین اشتباهاتی از  nogotofail که ابزاری منبع باز ساخته شده توسط Google است استفاده کنید.

۵- برای بالا بردن امنیت اندروید از GCM به جای SMS استفاده کنید

زمانی که GCM که مخفف Google Cloud Messaging است وجود نداشت، بسیاری از توسعه دهندگان از SMS برای انتقال داده از سرورهای خود به اپلیکیشن های خود استفاده می کردند. امروزه این کار تا حد زیادی از بین رفته است.

اگر شما از جمله توسعه دهندگانی هستید که هنوز از SMS به جای GCM استفاده می کنید، باید بدانید که پروتکل SMS نه رمزگذاری شده است و نه در برابر حملات جعل (spoofing attack) ایمن است.

توضیحات: حمله spoofing یا حمله جعل، شرایطى است که در آن یک شخص یا برنامه خود را به عنوان یکی دیگرى معرفی کرده و یا با جعل داده‌ها موفق به دست آوردن مزیت نامشروع می‌شود.

علاوه بر این، هر اپلیکیشنی که در دستگاه کاربر وجود دارد و دارای مجوز READ_SMS است، می تواند SMS را بخواند.

GCM بسیار امن ترین روش ارسالی برای انتقال پیام به یک اپلیکینشن است زیرا تمام ارتباطات GCM رمزگذاری شده است. احراز هویت آنها با استفاده از نشانه های ثبت منظم تازه شده در سمت مشتری و یک کلید API منحصر به فرد در سمت سرور انجام می شود.

۶- از پرسیدن درباره اطلاعات شخصی خودداری کنید

این روزها به حریم خصوصی کاربر اهمیت زیادی داده می شود. در حقیقت قوانینی مانند دستورالعمل حفاظت از داده های اتحادیه اروپا Data Protection Directive و قانون محافظت از اطلاعات شخصی و اسناد الکترونیکی کانادا Personal Information Protection and Electronic Documents Act وجود دارد که حفاظت از حریم خصوصی کاربر را مجاز می داند. بنابراین مگر اینکه دلیل کافی و زیرساخت بسیار مطمئنی برای جمع آوری، ذخیره و انتقال اطلاعات شخصی کاربر داشته باشید، در غیر اینصورت باید از درخواست مستقیم آن در برنامه های خود خودداری کنید.

روش بهتر برای تأیید اعتبار کاربر و جستجوی اطلاعات پروفایل کاربر در سیستم عامل اندروید استفاده از Google Identity Platform است. Google Identity Platform به کاربران اجازه می دهد تا با استفاده از حساب Google خود به سرعت وارد برنامه شما شوند.

پس از ورود موفقیت آمیز به سیستم عامل، هر زمان که لازم باشد، برنامه شما می تواند به راحتی جزئیات مختلفی از جمله نام کاربر، آدرس ایمیل، عکس نمایه، مخاطبین و موارد دیگر را درباره کاربر جستجو کند. متناوباً ، می توانید از سرویس های رایگان مانند Firebase استفاده کنید که می توانند احراز هویت کاربر را برای شما مدیریت کنند.

اگر خودتان باید از اطلاعات کاربری استفاده کنید  توصیه می شود که آنها را به صورت هش های امن ذخیره و انتقال دهید. ساده ترین راه برای تولید انواع مختلف هش با استفاده از Android SDK و استفاده از کلاس MessageDigest است.

در اینجا یک قطعه کد کوچک آورده شده است که نحوه ایجاد یک هش از رشته Hello World با استفاده از عملکرد هش SHA-256 را نشان می دهد:

// Initialize MessageDigest to use SHA-256
MessageDigest md = MessageDigest.getInstance("SHA-256");
// Convert the string to a hash
byte[] sha256Hash = md.digest("Hello World".getBytes());

۷- برای بالا بردن امنیت اندروید ورودی کاربر را اعتبار سنجی کنید

در سیستم عامل Android ، ورودی نامعتبر از طرف کاربر معمولاً منجر به مشکلات امنیتی مانند اضافه شدن بافر نمی شود. ولی اگر به کاربران اجازه می دهید با یک پایگاه داده SQLite یا یک ارائه دهنده محتوا که در داخل از یک پایگاه داده SQLite استفاده می کند تعامل داشته باشند، باید ورودی کاربر را چک کنید یا از parameterized queries استفاده کنید. عدم انجام این کار، اطلاعات شما را در برابر حملات تزریق اس کیو ال (SQL injection attacks) آسیب پذیر می کند.

توضیحات : حملات تزریق اسکیوال چه زمانی رخ می دهند ؟

تزریق اسکیوال زمانی رخ می دهد که یک اپلیکیشن داده های فراهم شده توسط کاربر (هکر) را بدون اعتبار سنجی (که این اطلاعات معمولا از طریق وب فرم ها دریافت می شود) پردازش می کند. در نتیجه ورودی هکر که وارد اپلیکیشن شده به پایگاه داده سرور برای اجرا فرستاده می شود. در نتیجه آن تزریق اس کیو ال می تواند هکر را به دسترسی به محتوای پایگاه داده یا فرمان های ریموت در سیستم مجهز سازد.

در بدترین سناریوی ممکن هکر کنترل سروری را که پایگاه داده را میزبانی می کند در اختیار می گیرد . اثرگذاری حملات تزریق اس کیو ال به چندین عامل بستگی دارد, اینکه آسیب پذیری در کجای کد رخ داده, اینکه آسیب پذیری چقدر کار را برای هکر آسان کرده و اینکه اپلیکیشن آسیب یافته چه سطح دسترسی ایی به پایگاه داده سرور دارد.

اگر از ورودی کاربر برای تولید کد پویا برای اجرا بر روی یک موتور برنامه نویسی تعبیه شده مانند Mozilla Rhino استفاده می کنید، اعتبارسنجی و اعتبار ورودی کاربر نیز بسیار مهم است.

۸- قبل از انتشار از ProGuard استفاده کنید

اگر مهاجمان بتوانند سورس کد اپلیکشن شما را در اختیار بگیرند، اقدامات امنیتی داخلی که در برنامه اندرویدی شما وجود دارد به شدت آسیب می بیند. بخاطر همین قبل از انتشار برنامه، توصیه می شود از ابزاری برای ایمن سازی اپلیکیشن های اندرویدی به نام ProGuard استفاده کنید، که در Android SDK موجود است.

این ابزار بهینه ساز برای Java bytecode است و باعث می شود تا برنامه های جاوا و اندروید شما تا ۹۰ درصد کوچکتر و تا ۲۰ درصد سریعتر شوند.

اگر buildType روی release تنظیم شده باشد، اندروید به طور خودکار ProGuard را در مراحل ساخت قرار می دهد. در اکثر برنامه ها کانفیگ پیش فرض ProGuard در فایل proguard-android.txt در Android SDK در دسترس است.

اگر می خواهید این تنظیمات را شخصی سازی کنید و تغییر دهید، می توانید این کار را در داخل فایلی به نام proguard-rules.pro که بخشی از هر پروژه اندروید استودیو است انجام دهید.

افزایش امنیت در ساخت اپلیکیشن‌های اندرویدی در اندروید استودیو:

در اندروید استودیو، برای افزایش امنیت در ساخت اپلیکیشن‌های اندرویدی، می‌توانید از راهکارهای زیر استفاده کنید:

۱. استفاده از Android Security APIs: اندروید استودیو قابلیت استفاده از Android Security APIs را فراهم می‌کند. این API ها شامل مجموعه‌ای از ابزارهای امنیتی هستند که به برنامه‌نویسان کمک می‌کنند تا برنامه‌های امن و محافظت شده‌ای برای کاربران خود ایجاد کنند. برخی از این API ها شامل Android Keystore، Android Keychain، Android Permissions و Android Backup است.

۲. استفاده از Proguard و DexGuard: Proguard و DexGuard دو ابزار امنیتی هستند که در اندروید استودیو موجود هستند. این ابزارها با کاهش حجم کد و رمزگذاری آن، از خطر نفوذ و حملات مخرب جلوگیری می‌کنند.

۳. استفاده از HTTPS برای ارتباط با سرور: بهترین راه برای ایجاد ارتباط امن با سرور، استفاده از پروتکل HTTPS است. برای این کار، باید از کتابخانه‌هایی مانند OkHttp و Retrofit استفاده کنید.

۴. استفاده از دسترسی دو مرحله‌ای: برای حفظ امنیت در ساخت اپلیکیشن‌های اندرویدی، باید از دسترسی دو مرحله‌ای استفاده کنید. این به معنای این است که برای ورود به برنامه، کاربر باید به‌جای یک رمز عبور، یک کد ارسال شده به تلفن همراه خود را وارد کند.

۵. استفاده از رمزنگاری داده‌ها: برای حفظ امنیت اطلاعات کاربران، باید از رمزنگاری داده‌ها استفاده کنید. در اندروید استودیو، می‌توانید از کتابخانه‌هایی مانند Cipher و Enigma استفاده کنید.

۶. محدود کردن دسترسی به منابع: برای کاهش خطر نفوذ و حملات در برنامه شما، باید دسترسی به منابع حساس مانند حافظه دستگاه، دوربین و میکروفون را محدود کنید. برای این کار، باید از سیستم دسترسی‌های برنامه‌نویسی (Android Permissions System) استفاده کنید.

۷. استفاده از ابزارهای تست امنیتی: برای اطمینان از امنیت برنامه شما، می‌توانید از ابزارهای تست امنیتی مانند OWASP ZAP و Burp Suite استفاده کنید. این ابزارها به شما کمک می‌کنند تا مشکلات امنیتیمانند نقاط ضعف در برنامه خود را پیدا کرده و آن‌ها را برطرف کنید.

۸. به‌روزرسانی نرم‌افزار: برای حفظ امنیت برنامه، باید همواره به‌روزرسانی‌های امنیتی برای برنامه خود را اعمال کنید. این به معنای اصلاح خطاها و نقاط ضعف در برنامه می‌باشد و کمک می‌کند که برنامه شما در برابر حملات مختلف محافظت شود.

۹. استفاده از ویژگی‌های امنیتی در دستگاه: برای افزایش امنیت در ساخت اپلیکیشن، باید از ویژگی‌های امنیتی در دستگاه کاربر استفاده کنید. به‌طور مثال، از قفل صفحه‌ی کلید دستگاه، قفل گذاری برنامه با رمز عبور و قفل کردن حافظه دستگاه با رمز عبور استفاده کنید.

۱۰. آموزش کاربران: برای حفظ امنیت برنامه، باید کاربران را آموزش دهید که چگونه از برنامه شما به‌صورت امن استفاده کنند و چگونه از نقاط ضعف برنامه اطلاع پیدا کنند. به عنوان مثال، باید کاربران را آموزش دهید که هرگز اطلاعات حساس خود را در برنامه‌هایی که منبع آن‌ها نامشخص است، وارد نکنند.

با اعمال این روش‌ها، می‌توانید امنیت برنامه خود را افزایش داده و کاربران خود را در برابر حملات مخرب محافظت کنید.

نتیجه گیری از بررسی امنیت سیستم عامل اندروید :

نتیجه‌گیری از بررسی امنیت سیستم عامل اندروید این است که این سیستم عامل، در حال حاضر یکی از پرکاربردترین و پرطرفدارترین سیستم‌های عامل در جهان است. اما همچنان در این سیستم عامل، قابلیت‌هایی برای بهبود امنیت وجود دارد.

در سال‌های اخیر، گزارش‌هایی از حملات و نفوذ به دستگاه‌های اندرویدی منتشر شده است، اما باید توجه داشت که بسیاری از این حملات به دلیل نداشتن به‌روزرسانی‌های امنیتی و برخی نقاط ضعف در برنامه‌نویسی برنامه‌های اندرویدی رخ داده‌اند.

به همین دلیل، برای حفظ امنیت سیستم عامل اندروید، کاربران باید به‌روزرسانی‌های امنیتی را همیشه اعمال کنند و از برنامه‌هایی که منبع آن‌ها نامشخص است، دوری کنند. همچنین، برنامه‌نویسان هم باید با استفاده از ابزارهای امنیتی موجود در اندروید استودیو، برنامه‌هایی ایجاد کنند که امنیت بالایی برای کاربرانشان فراهم کنند.

در کل، سیستم عامل اندروید، با ارائه قابلیت‌های امنیتی مانند Android Security APIs، دسترسی دو مرحله‌ای، رمزنگاری داده‌ها و ابزارهای تست امنیتی، به کاربران و برنامه‌نویسان امکان ایجاد برنامه‌هایی با امنیت بالا را می‌دهد. با رعایت این نکات، می‌توانید از امنیت بالایی برای دستگاه‌های اندرویدی خود و برنامه‌هایی که برای آن‌ها ایجاد می‌کنید، بهره‌مند شوید.

به دنبال یادگیری برنامه‌نویسی اندروید هستید؟

پکیج های آموزش برنامه‌نویسی اندروید الکامکو با بهره‌گیری از جدیدترین تکنولوژی‌های برنامه‌نویسی، به شما این امکان را می‌دهد که به سرعت و به راحتی برنامه‌های اندرویدی خود را طراحی و توسعه دهید. با یادگیری برنامه‌نویسی اندروید، می‌توانید به راحتی اپلیکیشن‌هایی را بسازید که به کاربران بسیاری کمک می‌کند و در عین حال به شما درآمدزایی می‌دهد.

همچنین، بعد از یادگیری برنامه‌نویسی اندروید، می‌توانید به راحتی بازاریابی و فروش برنامه‌های خود را بر روی گوگل پلی و دیگر پلتفرم‌های اندروید انجام دهید و درآمد خوبی را کسب کنید.

مقدمه و معرفی دوره آموزش برنامه نویسی اندروید با کاتلین

• آشنایی با زبان کاتلین
• قوانین و مفاهیم پایه برای یادگیری زبان کاتلین
• مقایسه جاوا و کاتلین
• آموزش نصب و راه اندازی اندروید استودیو
• شروع کار با اندروید استودیو
• آشنایی اولیه با سیستم عامل Android
• بررسی ایمولیتور (شبیه ساز) و انواع آن
• ساخت ایمولیتور در اندروید استودیو
• شناخت ابزارهای برنامه نویسی Android
• انتخاب ابزار مناسب برنامه نویسی اندروید
• آشنایی با معماری سیستم عامل Android
• آموزش نصب نرم افزار های مورد نیاز جهت برنامه نویسی Android
• شروع طراحی در اندروید استودیو
• اجرای برنامه در شبیه ساز
• آموزش مفاهیم شی گرایی در برنامه نویسی (Object Oriented Programming)
• آموزش کامل برنامه نویسی با زبان کاتلین (kotlin)
• برای مشاهده ادامه سرفصلها روی دوره کلیک کنید

همچنین بخوانید » همه دوره های کاتلین | لیست کتاب های آموزش زبان کاتلین | مقایسه کاتلین و فلاتر | فرق جاوا با کاتلین

بخش های دوره اموزش فلاتر

1. بخش اول : آموزش برنامه نویسی به زبان Dart
2. بخش دوم : آموزش UI/UX – رابط کاربری و تجربه کاربری در فلاتر
3. بخش سوم : مفاهیم کاربردی
4. بخش چهارم : پیش نیاز بخش سرور
5. بخش پنجم : آموزش کامل کار با سرور
6. بخش ششم : مفاهیم پیشرفته
7. بخش هفتم : مفاهیم تکمیلی
8. بخش هشتم : طراحی و ساخت وبسایت فروشگاهی با فلاتر
9. بخش نهم : طراحی و ساخت اپلیکیشن فروشگاهی با Flutter

همچنین بخوانید »  همه دوره های فلاتر | تفاوت React Native و Flutter | آینده Flutter چگونه است؟ | لیست کتاب های اموزش flutter | فیلم های آموزش Flutter رایگان | نصب فلاتر | اموزش زبان برنامه نویسی دارت | طراحی اپلیکیشن اندروید و iOS | یادگیری برنامه نویسی با Flutter