ከተጠቃሚ የይለፍ ቃሎች እስከ የክፍያ ዝርዝሮች ድረስ ሁሉንም ነገር እንደ ዲጂታል ቮልት ያለ የሞባይል መተግበሪያ ያስቡ። እንደ የመግባት ሞካሪ፣ የእርስዎ ስራ ቮልቱ በጥብቅ መዘጋቱን ማረጋገጥ ነው—ማንኛውም እውነተኛ አጥቂ ወደ ውስጥ ለመግባት ከመሞከሯ ከረጅም ጊዜ በፊት። በዚህ መመሪያ ውስጥ ትክክለኛውን መሳሪያ ከመሰብሰብ ጀምሮ እስከ ሞባይል ድረስ ያለውን ሂደት በሙሉ እንመራዎታለን። ኮድ እና ትራፊክን በመተንተን. ወደ ውስጥ እንግባ!

መግቢያ

የምንኖረው ተንቀሳቃሽ መሳሪያዎች የራሳችን ቅጥያ በሆኑበት ዓለም ውስጥ ነው። ሰዎች በስልኮቻቸው ላይ ባንኪንግ ፣ ግዢ እና ማህበራዊ ግንኙነት ስለሚያደርጉ የመተግበሪያ ደህንነትን ማረጋገጥ ከሁሉም በላይ ነው። ለዛም ነው የሞባይል መቃኘት ጉዳይ፡ ድክመቶችን ለማጋለጥ እና ገንቢዎች እንዲጠግኑ ለማገዝ በመተግበሪያዎች ላይ ጥቃቶችን እናስመስላለን።

ለእርስዎ ያለው ይኸውና፡-

• የአእምሮ ሰላም ፡ በመረጃ ፍንጣቂዎች ወይም በተሰረቁ ምስክርነቶች ምክንያት እንቅልፍ አያጡም።
• ተገዢነት ፡ ተቆጣጣሪዎች (እና የእርስዎ ተጠቃሚዎች) ጠንካራ የጥበቃ ደረጃዎች ያስፈልጋቸዋል።
• መልካም ስም ማበልጸግ ፡ ደህንነታቸው የተጠበቁ መተግበሪያዎች ማለት ደስተኛ ደንበኞች እና የአሉታዊ አርዕስተ ዜናዎች ስጋት ያነሰ ማለት ነው።

የሞባይል ፔንቴቲንግ ምንድን ነው?

በመሰረቱ፣ የሞባይል ፔንቴቲንግ ወደ መተግበሪያ ለመግባት የፈጠራ መንገዶችን መፈለግ ነው-ልክ እውነተኛ አጥቂ እንደሚያደርገው ሁሉ-ስለዚህ በመጀመሪያ ድክመቶቹን ማስተካከል ይችላሉ። የሞባይል አፕሊኬሽኖች፡

• በልዩ መድረኮች ላይ ያሂዱ ፡ አንድሮይድ እና አይኦኤስ እያንዳንዳቸው የራሳቸው ህግጋት፣ የደህንነት ሞዴሎች እና አሻሚዎች አሏቸው።

• በመሳሪያዎች ላይ ውሂብን ያከማቹ ፡ ሚስጥራዊነት ያለው መረጃ በአገር ውስጥ ሊቀመጥ ይችላል፣ ይህም መሳሪያ-ተኮር ማከማቻን መመርመር አስፈላጊ ያደርገዋል።

• በኤፒአይ ላይ በደንብ ይተማመኑ ፡ የሞባይል አፕሊኬሽኖች ብዙ ጊዜ ከደጋፊ አገልጋዮች ጋር በኤፒአይዎች ይነጋገራሉ፣ ይህ ደግሞ በአግባቡ ካልተፈተሸ ሊስተካከል ወይም ሊጋለጥ ይችላል።

  
  

የተለመዱ ተግዳሮቶች ከ root/ jailbreak ፈልጎ ማግኘትን፣ SSL መሰካትን ማለፍ እና ሁለቱንም የደንበኛ-ጎን እና የአገልጋይ-ጎን ሎጂክን መተንተንን ያካትታሉ።

ለሞባይል መተግበሪያዎች የተለመዱ ስጋቶች

የመካከለኛው ዘመን ምሽግ በዓይነ ሕሊናህ ተመልከት—እነዚህ የተለመዱት “ደካማ ቦታዎች” አጥቂዎች ኢላማ ናቸው፡

1. ደህንነቱ ያልተጠበቀ የውሂብ ማከማቻ
   • ሚስጥራዊነት ያላቸው ቶከኖች ወይም የተጠቃሚ ምስክርነቶች በመሳሪያው ላይ ሳይመሰጠሩ ይቀራሉ።
2. ደካማ የአገልጋይ-የጎን መቆጣጠሪያዎች
   • የጎደለ የግቤት ማረጋገጫ ወይም ጠላፊዎች ሊጠቀሙበት የሚችሉት የተሳሳተ የኤፒአይ አመክንዮ።
3. በቂ ያልሆነ የመጓጓዣ ንብርብር ጥበቃ
   • HTTP ወይም ጉድለት ያለበት HTTPS በመጠቀም አጥቂዎች የአውታረ መረብ ትራፊክን እንዲጠለፉ ወይም እንዲቀይሩ ያስችላቸዋል።
4. ደህንነቱ ያልተጠበቀ ማረጋገጫ እና ፍቃድ
   • በደንብ ያልተተገበሩ የመግቢያ ስርዓቶች፣ የክፍለ-ጊዜ አስተዳደር ወይም የፍቃድ ፍተሻዎች።
5. የደንበኛ-ጎን ተጋላጭነቶች

   • ምስጢሮችን ለመግለጥ በግልባጭ ሊገለበጥ የሚችል ኮድ፣ ወይም በሂደት ጊዜ ሊስተካከል የሚችል ሎጂክ።

     
     

በእነዚህ አደጋዎች ላይ ተጨማሪ ለማግኘት የ OWASP ሞባይል ከፍተኛ 10 እና የሞባይል አፕሊኬሽን ደህንነት ሙከራ መመሪያን (MASTG) ይመልከቱ። ሁሉንም ሊሆኑ የሚችሉ ወጥመዶች እንደሚያጎሉ ካርታዎች ናቸው።

ለሞባይል ሙከራ ይዘጋጁ

ቤተ መንግሥቱን ከመውረርዎ በፊት ትክክለኛውን ትጥቅ እና መሳሪያ ያስፈልግዎታል። በመጥፎ ቃላቶች፣ ይህ ማለት የገሃዱ ዓለም ውሂብን ሳይጎዱ ደህንነቱ በተጠበቀ ሁኔታ መሞከር የሚችሉበትን አካባቢ ማዘጋጀት ማለት ነው። ለሁለቱም አንድሮይድ እና አይኦኤስ መሰረታዊ ነገሮችን እንይ።

አንድሮይድ

አንድሮይድ መተግበሪያዎችን ሲሞክሩ እንደ አንድሮይድ ኢሙሌተር ወይም Genymotion ያሉ መሳሪያዎችን በመጠቀም ምናባዊ መሳሪያዎችን ማሽከርከር ይችላሉ። እነዚህ emulators አካላዊ መሳሪያ ሳያስፈልጋቸው በፍጥነት መተግበሪያዎችን እንድትጭን እና እንድትሞክር ያስችልሃል። አንድን ለማዘጋጀት ዝርዝር ደረጃዎች በዚህ መመሪያ ውስጥ ይገኛሉ.

አንድሮይድ emulator

ይሁን እንጂ አካላዊ መሣሪያን መጠቀም ብዙውን ጊዜ የበለጠ ትክክለኛ ውጤቶችን ያስገኛል-በተለይ የእውነተኛ ዓለም አውታረ መረብ ሁኔታዎችን፣ ዳሳሾችን ወይም የባዮሜትሪክ ማረጋገጫን መሞከር ሲፈልጉ። እንደ ስርወ ቼኮች ወይም ጥልቅ ዳታ ፎረንሲክስ ያሉ ተጨማሪ የላቁ ሙከራዎችን እያቀዱ ከሆነ ትክክለኛ ሃርድዌር መኖሩ ትልቅ ተጨማሪ ነገር ነው።

ልዩ መሣሪያ ለመግዛት ወይም ለመበደር ከወሰኑ አንዳንድ አንድሮይድ ስልኮች ሩትን ለመሥራት ቀላል እንደሆኑ ያስታውሱ። ሩት ማድረግ የተደበቁ ፋይሎችን እንድትመረምር፣ የመተግበሪያ ገደቦችን እንድታልፍ እና ከፍ ያለ ፈቃድ የሚያስፈልጋቸውን ኃይለኛ መሳሪያዎችን እንድታስኬድ የስርዓተ ክወናው ጥልቅ መዳረሻ ይሰጥሃል።

ሥር መስደድ

አንድሮይድ ሩት ማድረግ ለስልክዎ ኦፕሬቲንግ ሲስተም የአጽም ቁልፍ እንደማግኘት ነው። በተለምዶ፡-

1. ቡት ጫኚውን ይክፈቱ።
2. ብጁ መልሶ ማግኛን ያብሩ (ለምሳሌ TWRP)።
3. እንደ Magisk ወይም SuperSU ያለ ስርወ አስተዳደር መሳሪያ ይጫኑ።

እያንዳንዱ የስልክ እና የስርዓተ ክወና ስሪት የራሱ ባህሪያት አለው, ስለዚህ ለጥቂት ሙከራዎች ዝግጁ ይሁኑ. ጥሩ ዜናው አንድ ጊዜ መሳሪያው ስር ከተቀመጠ በኋላ ወደ ፋብሪካ ዳግም ካላስጀመርክ ወይም ፈርምዌርን ካላሻሻልክ በቀር በአጠቃላይ በዚያ መንገድ ይቆያል። የ iOS jailbreaks ዳግም ከተነሳ በኋላ ሊጠፉ እንደሚችሉ ያስታውሱ-ስለዚህ አንድሮይድ አንዳንድ ጊዜ ለሙከራ የበለጠ የማያቋርጥ መድረክ ያቀርባል።

ለስልክዎ ሁል ጊዜ የታመኑ መመሪያዎችን ይከተሉ - ተገቢ ያልሆነ ሩት ማድረግ ሶፍትዌሩን ያበላሻል ወይም የደህንነት ቀዳዳዎችን ያስተዋውቃል። እና በእርግጥ፣ ከመጥለቅዎ በፊት የውሂብዎን ምትኬ ያስቀምጡ ! Pixel 3aን ስር የማውጣት ምሳሌ

ተኪ

እንደ Burp Suite ያለ ተኪ እንደ “ስፓይግላስ” ያስቡ። ከመተግበሪያው ውስጥ የሚገቡ እና የሚወጡትን ትራፊክ እንዲመለከቱ እና እንዲቀይሩ ያስችልዎታል። ደህንነቱ ያልተጠበቀ ግንኙነት፣ ጉድለት ያለበት ማረጋገጫ ወይም ጥላሸት የሚጠይቁ ጥያቄዎችን ያገኛሉ። ለሞባይል ፕሮክሲ ማዋቀር በ iOS እና አንድሮይድ ላይ ተመሳሳይ ነው። ለእያንዳንዱ መድረክ ኦፊሴላዊ መመሪያዎችን እዚህ ማግኘት ይችላሉ.

ከተወሰኑ ማዕቀፎች ጋር ነገሮች አስቸጋሪ ይሆናሉ፡-

• Xamarin አንዳንድ ጊዜ በብጁ የአውታረ መረብ ቤተ-መጽሐፍት ምክንያት ስርዓት-ሰፊ ተኪ ቅንብሮችን ችላ ይላል።

• ፍሉተር ፕሮክሲዎችን ሊያከብር ይችላል ነገር ግን የሰርቲፊኬት መሰካትን ሊያስፈጽም ይችላል፣ ይህም ትራፊክን እንዳያዩ ይከለክላል።

  
  

እነዚህን መሰናክሎች ለማሸነፍ፣ ኮዱን ማስተካከል፣ እንደ Frida ወይም Objection የመሳሰሉ መሳሪያዎችን ፒን ማድረግን ለማጥፋት ወይም ትራፊክን ለመያዝ የተገላቢጦሽ ፕሮክሲዎችን (ለምሳሌ mitmproxy ) ማዘጋጀት ይችላሉ። የእርስዎን አቀራረብ ማስተካከል የደስታው አካል ነው!

የመተግበሪያ ጭነት

መተግበሪያው ገና በGoogle ፕሌይ ስቶር ላይ ከሌለ—የተለመደ ለፔንታስቶች—በጎን ለመጫን የኤፒኬ ፋይል ሊኖርዎት ይችላል። ኤፒኬውን በGoogle Drive ወይም በቀጥታ የማውረድ አገናኝ በኩል ማጋራት ይችላሉ። ሌላው ምቹ አማራጭ ለባለድርሻ አካላት ግብዣዎችን በመላክ ፈተናን የሚያደራጅ የFirebase መተግበሪያ ስርጭትን መጠቀም ነው።

iOS

በ iOS ላይ፣ አካላዊ መሳሪያ በጣም እውነተኛውን የሙከራ ተሞክሮ ያቀርባል። እንደ ፊት መታወቂያ ፣ የንክኪ መታወቂያ እና ዳሳሾች ባሉ ሃርድዌር-ተኮር ባህሪያት ውስጥ ዘልለው በመግባት ተጨባጭ የአውታረ መረብ መስተጋብርን እየያዙ መዝለል ይችላሉ። የግል መሳሪያ እየገዙ ወይም እየተጠቀሙ ከሆነ፣ ለማሰር ቀላል እንደሆኑ የሚታወቁ ሞዴሎችን ያስቡ (ሁሉም አይፎኖች ለዚህ ሂደት እኩል ተስማሚ ስላልሆኑ)። ምናባዊ የ iOS መሣሪያዎች ከፈለጉ፣ Corellium ነጻ ባይሆንም ኃይለኛ ደመናን መሰረት ያደረገ ሙከራ ያቀርባል። አብዛኛዎቹ ሞካሪዎች ለትክክለኛ ፍተሻዎች አሁንም በአካላዊ መሳሪያ ላይ ይተማመናሉ።

የእስር ማፍረስ

iOS Jailbreaking አፕል በመሳሪያዎቹ ላይ ያስቀመጠውን ቁልፎች እንደማስወገድ አይነት ስሜት ይሰማዋል። የስር መብቶችን ያገኛሉ፣ ማስተካከያዎችን እንዲጭኑ፣ የተደበቁ የፋይል ማውጫዎችን እንዲያስሱ ወይም የላቁ የፔንቴቲንግ ስክሪፕቶችን እንዲያሄዱ ያስችልዎታል። ታዋቂ መሳሪያዎች unc0ver እና Checkra1n ያካትታሉ። ምርጥ ምርጫ በእርስዎ የ iOS ስሪት እና የመሳሪያ ሞዴል ላይ የተመሰረተ ነው.

አስታውስ፡-

• አዳዲስ መሳሪያዎች ለእስር መስበር የበለጠ ከባድ ሊሆኑ ይችላሉ።
• አንዳንድ የእስር ቤት እገዳዎች ከዳግም ማስነሳት አይተርፉም (“ከፊል-ያልተገናኘ”)።
• ከስርዓት ፋይሎች ጋር ከመጨናነቅዎ በፊት ሁልጊዜ የእርስዎን iPhone ምትኬ ያስቀምጡ ።

እንዲሁም አንዳንድ የደህንነት ንብርብሮች መሣሪያዎ እንደገና ሲጀመር በራስ-ሰር እንደገና እንዲነቃቁ ይደረጉ፣ ስለዚህ ኃይል በከፈቱ ቁጥር እንደገና ማሰር ሊኖርብዎት ይችላል።

የመተግበሪያ ጭነት

የiOS መተግበሪያዎች በአንድሮይድ ላይ ካሉ ኤፒኬዎች ጋር ተመሳሳይ በሆነ በአይፒኤ ፋይሎች ውስጥ ይመጣሉ። በተሰበረ ስልክ ላይ እንደ Filza ያሉ የፋይል አስተዳዳሪዎችን ወይም እንደ Sideloadly ያሉ መተግበሪያዎችን በመጠቀም አይፒኤዎችን መጫን ይችላሉ። ለበለጠ ይፋዊ መንገድ፣ ገንቢዎች ብዙውን ጊዜ በ TestFlight ላይ ይተማመናሉ፣ ይህም ሞካሪዎችን በኢሜይል እንዲጋብዙ ያስችላቸዋል—አገናኙን ብቻ ይንኩ፣ እና iOS ቀሪውን ያስተናግዳል።

አካባቢዎን በትክክል ማዋቀር - ትክክለኛዎቹን መሳሪያዎች (ምናባዊ ወይም አካላዊ) መምረጥ፣ ተኪዎችን ማዋቀር እና መተግበሪያዎችን እንዴት ወደ ጎን እንደሚጫኑ መረዳት - ወደ የመተግበሪያው ውስጣዊ አሠራር ውስጥ ለመግባት ዝግጁ መሆንዎን ያረጋግጣል። ትንሽ መቁጠርን ሊወስድ ይችላል፣ ግን ያንን ፍጹም ማዋቀር አንዴ ካገኙ፣ እውነተኛው መፈተሽ ሊጀመር ይችላል።

የማይንቀሳቀስ ትንተና (SAST)

አሁን ሙሉ በሙሉ ሳናስኬደው መተግበሪያውን ራሱ ወደ መመርመር እንሂድ። ይህ ወደ ውስጥ ከመግባትዎ በፊት የቤተ መንግስትን ንድፍ ማንበብ ነው። በኮድ ወይም በማዋቀር ላይ ያሉ ምስጢሮችን ፣ ደህንነታቸው ያልተጠበቁ ውቅሮችን እና ሌሎች ጉዳዮችን እንፈልጋለን።

ትኩረት የሚሹ ቁልፍ ቦታዎች

1. ሃርድኮድ ሚስጥሮች

   የኤፒአይ ቁልፎች፣ ቶከኖች፣ ምስክርነቶች እና የምስጠራ ቁልፎች አንዳንድ ጊዜ በቀጥታ የምንጭ ኮድ ውስጥ ይሆናሉ። አጥቂዎች መተግበሪያውን ከተገላቢጦሽ ኢንጂነር ካደረጉ፣ እነዚህን ምስጢሮች በትንሹ ጥረት ነቅለው ተጠቃሚዎችን ወይም አገልግሎቶችን ማስመሰል ይችላሉ።

2. ደህንነታቸው ያልተጠበቁ ውቅረቶች

   ከመጠን በላይ ፈቃዶች፣ ባንዲራዎችን ማረም ነቅተዋል፣ ወይም ተገቢ ያልሆነ ፊርማ ሁሉም በመተግበሪያዎ ትጥቅ ላይ ቀዳዳዎችን መምታት ይችላል። ነጠላ ቅንብር—እንደ NSAllowsArbitraryLoads በiOS Info.plist ወይም android:debuggable="true"—ለሰው መሃል (ኤምቲኤም) ጥቃቶች ወይም ጥበቃ ለሌለው ማረም በር ሊከፍት ይችላል።

3. ሚስጥራዊነት ያለው የውሂብ ተጋላጭነት

   የክፍለ ጊዜ ቶከኖችን ወይም የግል መረጃን በመሳሪያው ላይ በግልፅ ጽሁፍ ማከማቸት (ምዝግብ ማስታወሻዎች፣ የተጋሩ ምርጫዎች፣ የአካባቢ ፋይሎች) ለአደጋ የምግብ አዘገጃጀት መመሪያ ነው። ማንኛውም ሰው አካላዊ መዳረሻ ያለው ወይም ስር የሰደደ/የታሰረ/የተሰበረ ስልክ ዙሪያውን ሾልኮ ጠቃሚ መረጃዎችን ሊሰርቅ ይችላል—ምንም የጭካኔ ኃይል አያስፈልግም።

4. የመተግበሪያ ሎጂክ እና ጉድለቶች

   ብዙውን ጊዜ, ዋና ጉዳዮች የሚመጡት ባህሪያት እንዴት እንደሚተገበሩ ነው. እንደ ማረጋገጫ ያሉ አስፈላጊ ፍተሻዎች ሲጠፉ ወይም በጥብቅ ካልተተገበሩ አጥቂዎች የእርስዎን መከላከያ በቀላሉ ማለፍ ይችላሉ። በተመሳሳይ፣ ደካማ የክሪፕቶግራፊክ ተግባራት ወይም ደህንነታቸው ያልተጠበቁ የመተግበሪያ ክፍሎች እንዲሁም የእርስዎን መተግበሪያ ለሚመረምር ለማንኛውም ሰው ህይወትን ቀላል ማድረግ ይችላሉ።

የ MSTG ማረጋገጫ ዝርዝር

የሞባይል ደህንነት ሙከራ መመሪያ (MSTG) የማይለዋወጥ ትንታኔን በዘዴ ለመፍታት እንዲረዳዎ የተሟላ የፍተሻ ዝርዝር ያቀርባል፡-

• MSTG-STORAGE-1 ፡ ሚስጥራዊነት ያለው መረጃ በመሳሪያው ላይ ሳይመሰጠር አይከማችም።
• [] MSTG-STORAGE-2 ፡ ምንም ሚስጥራዊነት ያለው ውሂብ በጋራ ማከማቻ ውስጥ አይከማችም።
• MSTG-CRYPTO-1 ፡ የምስጠራ ስልተ ቀመሮችን እና ቤተመጻሕፍትን በአግባቡ መጠቀም።
• [] MSTG-NETWORK-1 ፡ ደህንነታቸው የተጠበቀ የመገናኛ ሰርጦች (ለምሳሌ HTTPS/TLS)።
• [] MSTG-CODE-1 ፡ በምንጭ ኮድ ውስጥ ሃርድ ኮድ የተደረገባቸው ሚስጥሮች አለመኖር።
• [] MSTG-CODE-3 ፡ ኮድ መደበቅ በተገቢው መንገድ ይተገበራል።
• MSTG-RESILIENCE-1 ፡ ከተቃራኒ ምህንድስና መከላከል።
• [] MSTG-RESILIENCE-2 ፡ የማረም ችሎታዎች በምርት ላይ ተሰናክለዋል።
• MSTG-PRIVACY-1 ፡ የተጠቃሚ ፈቃዶችን እና የግል ውሂብን በአግባቡ መያዝ።

SAST መሳሪያዎች

መተግበሪያውን ሳያስኬዱ የተለያዩ መሳሪያዎች የእርስዎን ኮድ፣ ውቅሮች እና ሁለትዮሽዎች እንዲከፋፍሉ ሊረዱዎት ይችላሉ።

MobSF (የሞባይል ደህንነት መዋቅር)

ተጠቀም ፡ ኤፒኬ/አይፒኤ ይሰኩ እና MobSF ዝርዝር ዘገባ ያመነጫል፡ ሊፈጠሩ የሚችሉ የተሳሳቱ ውቅረቶችን፣ አጠራጣሪ ፈቃዶችን ወይም ሃርድ ኮድ የተደረገባቸው ምስጢሮችን ይዘረዝራል።

ጉርሻ : እንዲሁም አንዳንድ ተለዋዋጭ ባህሪያት አሉት, ይህም ንጹህ ሁሉንም-በአንድ-መፍትሄ ያደርገዋል.

APKTool (አንድሮይድ)

ተጠቀም ፡ ውስጥ ምን እንዳለ ለማየት ይሰብስቡ እና ከዚያ እንደገና አንድ ኤፒኬ ያሰባስቡ። ይሄ AndroidManifest.xml ን ለማንበብ፣ መርጃዎችን ለመመርመር ወይም መተግበሪያውን ለማስተካከል ምርጥ ነው።

apktool d app.apk -o output_director

JADX (አንድሮይድ)

ተጠቀም ፡ Dalvik bytecode (.dex) ወደ ሚነበብ ጃቫ ቀይር። እንደ ኤፒአይ ቁልፎች ካሉ ተጋላጭነቶች ጋር የኮድ መስመሮችን ለመለየት በጣም ጥሩ።

jadx app.apk -d output_directory

ክፍል-ቆሻሻ፣ ሆፐር፣ ጊድራ (አይኦኤስ)

ተጠቀም ፡ Objective-C ክፍል ራስጌዎችን አውጣ ወይም የiOS ሁለትዮሽዎችን (ሆፐር/ጊድራ) ንቀቅ። መተግበሪያው ስዊፍት ከተሰራ፣ የስዊፍት ሜታዳታንም ያያሉ።

ምሳሌዎች

አንድሮይድ

• መረጃን ይፋ ማድረግ

• አንድሮይድ መተግበሪያዎች እንደ APKTool ፣ JADX ወይም MobSF ባሉ መሳሪያዎች በመጠቀም ከኤፒኬ ፋይሎቻቸው ሊሰበሰቡ ይችላሉ።

  ይህ ሂደት የመተግበሪያ አመክንዮ እና ፈቃዶችን የሚያጋልጥ የምንጭ ኮድ፣ የመተግበሪያ መዋቅር እና እንደ አንድሮይድManifest.xml ወይም .smali ፋይሎችን ሚስጥራዊነት ያላቸውን አካላት ያሳያል።

  
  

• Cleartext ትራፊክን በመፍቀድ ላይ

<application android:usesCleartextTraffic="true" />

አጥቂዎች ያልተመሰጠረ (ኤችቲቲፒ) ግንኙነትን ለማዳመጥ ወይም ለማደናቀፍ ሊጠቀሙ ይችላሉ።

• ሊታረም የሚችል መተግበሪያ

<application android:debuggable="true" />

መሳሪያ (ወይም ኢምፔላተር) ያለው ማንኛውም ሰው አራሚ እና ሚስጥራዊነት ባለው መረጃ ወይም ሎጂክ ማያያዝ ይችላል።

• ሃርድ ኮድ የተደረገ ኤፒአይ ቁልፎች

public class ApiClient { private static final String API_KEY = "12345-abcdef-67890"; private static final String API_SECRET = "superSecretPassword123!"; }

በAPKTool ወይም JADX ፈጣን መሰባበር እነዚህን ቁልፎች ያሳያል፣ ይህም አጥቂዎች መተግበሪያውን እንዲያስመስሉ ወይም ከኋላ ያሉ አገልግሎቶችን ያለፈቃድ እንዲደርሱ ያስችላቸዋል።

• በPlaintext ውስጥ ሚስጥራዊ ውሂብ

<map> <string name="session_token">abc123XYZ987</string> <string name="user_email">user@example.com</string> </map>

ቶከኖች ወይም የተጠቃሚ ዝርዝሮች በግልጽ ጽሑፍ ውስጥ ከተቀመጡ ስር የሰደደ መሣሪያ በቀላሉ ሊያወጣቸው ይችላል።

iOS

• የተሳሳተ የተዋቀረ Info.plist

<key>NSAppTransportSecurity</key> <dict>

<key>NSAllowsArbitraryLoads</key> <true/> </dict>

አፕል ደህንነታቸው የተጠበቀ ግንኙነቶችን በነባሪነት ያስፈጽማል፣ ስለዚህ ይህን መሻር መተግበሪያውን ለ MITM ስጋቶች ወይም ያልተመሰጠረ ትራፊክ ይከፍታል።

እንደ Class-Dump ፣ Hopper Disassembler እና Ghidra ያሉ የማጠናቀቂያ መሳሪያዎች የመተግበሪያውን የአይፒኤ ፋይል ይዘት፣ ዓላማ-C ክፍሎችን፣ የስልት ስሞችን እና የሁለትዮሽ ፋይሎችን ጨምሮ።

ተለዋዋጭ ትንታኔ (DAST)

የማይለዋወጥ ትንተና የቤተመንግስትን ንድፍ እያጠና ከሆነ፣ እያንዳንዱን በር እና መስኮት እየፈተሸ ተለዋዋጭ ትንተና በቤተመንግስት ውስጥ እየተዘዋወረ ነው። መተግበሪያውን እናስኬዳለን፣ ባህሪው እንዴት እንደሆነ እናያለን እና ማንኛውንም ድክመቶች በቅጽበት መጠቀም እንደምንችል እንመለከታለን።

ትኩረት የሚሹ ቁልፍ ቦታዎች

1. የአውታረ መረብ ግንኙነት

   በመጓጓዣ ጊዜ የመተግበሪያዎ ውሂብ እየፈሰሰ አለመሆኑን ያረጋግጡ። የእርስዎ መተግበሪያ በኤችቲቲፒ ወይም በአግባቡ ካልተዋቀረ ኤችቲቲፒኤስ ላይ የሚመረኮዝ ከሆነ አጥቂው ገብቶ ውሂቡን ሊያስተካክል፣ ሊጠላው ወይም ሊለውጠው ይችላል። ለጎደለ ወይም ደካማ SSL/TLS ሰርተፊኬት መሰካት ተመሳሳይ ነው፣ይህም መተግበሪያዎን ለመካከለኛው ሰው (ኤምቲኤም) ጥቃቶች ያጋልጣል።

2. ማረጋገጫ እና ፍቃድ

   ምንም እንኳን የመግቢያ ስክሪኖችዎ እና የተጠቃሚዎች ሚናዎች በወረቀት ላይ ድምጽ ቢመስሉም፣ ትክክለኛው ፈተና አንድ ሰው በሂደት ጊዜ እነሱን ማለፍ ይችል እንደሆነ ነው። ለምሳሌ፣ አጥቂ የክፍለ ጊዜ ቶከኖችን እንደገና መጠቀም ወይም መገመት ይችላል? መተግበሪያው በትክክል ጊዜው አልፎበታል ወይንስ ክፍለ ጊዜዎችን ለዘላለም ክፍት ያደርገዋል?

3. የአሂድ ትክክለኛነት እና የደህንነት ፍተሻዎች

   ብዙ አፕሊኬሽኖች አንድ መሳሪያ ስር የሰደደ (አንድሮይድ) ወይም የታሰረ (iOS) ከሆነ እና ከዚያ የተወሰኑ ባህሪያትን ለማሄድ ወይም ለመከልከል ይሞክራሉ። በተለዋዋጭ ትንተና ጊዜ፣ የመተግበሪያውን ኮድ በማያያዝ እነዚህን ቼኮች ማለፍ ይችሉ እንደሆነ ማየት ይፈልጋሉ፣ ስለዚህ ለማንኛውም መሞከሩን መቀጠል ይችላሉ። እነዚህን እርምጃዎች በቀላሉ ማለፍ ከቻሉ አጥቂዎችም ይችላሉ።

4. በአፈፃፀም ጊዜ የውሂብ መፍሰስ

   መተግበሪያው ሚስጥራዊነት ያለው መረጃ (እንደ የይለፍ ቃሎች ወይም ቶከኖች) ግልጽ በሆነ ጽሑፍ ውስጥ ይመዘግባል? መተግበሪያዎችን ሲቀይሩ ወይም መሣሪያውን ከበስተጀርባ ሲቀይሩ ስክሪኑ ምስጢራዊ በሆነ መረጃ አሁንም እየታየ ነው? ይህ ዓይነቱ ያልታሰበ “የዳቦ ፍርፋሪ” መንገድ አጥቂዎችን ወደ ውድ ሀብት ሊያመራ ይችላል።

5. ኤፒአይ እና የአገልጋይ-ጎን ማረጋገጫ

   መተግበሪያው ከደንበኛ እይታ ደህንነቱ የተጠበቀ መስሎ ሊታይ ይችላል፣ ነገር ግን የኋለኛው ኤፒአይ የተጠቃሚ ፈቃዶችን ወይም ግቤትን ካላረጋገጠ፣ አጥቂ ያልተፈቀደ መዳረሻ ለማግኘት ወይም ስርዓቱን ለመስበር ጥያቄዎችን በበረራ ላይ ሊያደርግ ይችላል። ሁለቱንም የደንበኛ እና የአገልጋይ ባህሪያትን በአንድ ላይ መሞከር በጣም አስፈላጊ ነው።

የ MSTG ማረጋገጫ ዝርዝር

የሞባይል ደህንነት ሙከራ መመሪያ (MSTG) ተለዋዋጭ ትንታኔንም ይሸፍናል። ማስታወስ ያለብዎት አንዳንድ ቼኮች እዚህ አሉ

• [] MSTG-RESILIENCE-1 ፡ መተግበሪያ የምህንድስና ሙከራዎችን ማበላሸት ወይም መቀልበስን ፈልጎ ያገኛል እና ይከላከላል።

• MSTG-RESILIENCE-2 ፡ መተግበሪያ ስር የሰደዱ ወይም የታሰሩ መሳሪያዎችን ያገኛል።

• [] MSTG-RESILIENCE-3 ፡ መተግበሪያ የኮዱን እና ሃብቶቹን ታማኝነት በሂደት ጊዜ ያረጋግጣል።

• [] MSTG-NETWORK-1 ፡ አፕ ሁሉንም የአውታረ መረብ ትራፊክን በጠንካራ ክሪፕቶግራፊ ያመስጥራል።

• MSTG-NETWORK-3 ፡ መተግበሪያ በሚተገበርበት ቦታ የምስክር ወረቀት መሰካትን ያስፈጽማል።

• [] MSTG-PLATFORM-1 ፡ መተግበሪያ በመድረክ የደህንነት ስልቶች ላይ ብቻ የተመካ አይደለም እና የደህንነት እርምጃዎችን በተናጥል ያስፈጽማል።

• [] MSTG-AUTH-2 ፡ መተግበሪያ የክፍለ ጊዜ ማብቂያዎችን እና የተጠቃሚ ዳግም ማረጋገጫ መስፈርቶችን በትክክል ያስፈጽማል።

• [] MSTG-STORAGE-4 ፡ መተግበሪያ ሚስጥራዊነት ያለው መረጃ ወደ የስርዓት ምዝግብ ማስታወሻዎች አይመዘግብም።

• MSTG-STORAGE-5 ፡ አፕ ሚስጥራዊነት ያለው መረጃ ደህንነቱ ባልተጠበቀ ቦታ አያከማችም።

• [] MSTG-CRYPTO-1 ፡ መተግበሪያ ለአሂድ ጊዜ ስራዎች ወቅታዊ ምስጠራ ስልተ ቀመሮችን ይጠቀማል።

  
  

ለእውነተኛ ዓለም ፈተናዎችዎ እነዚህን እንደ ፍኖተ ካርታ ያስቡ። መዘጋቱን ለማረጋገጥ በእያንዳንዱ በር እና መስኮት ላይ ስልታዊ በሆነ መንገድ እንዲነኩ ይረዱዎታል።

DAST መሳሪያዎች

በኮድ ፍተሻ ላይ ከሚያተኩረው SAST በተለየ፣ DAST መተግበሪያውን በማስኬድ እና በመፈተሽ ላይ ያተኩራል። ከዚህ በታች ያንን ሂደት ለስላሳ ለማድረግ ታዋቂ መሳሪያዎች አሉ-

Burp Suite / OWASP ZAP

ተጠቀም : ሁለቱም በመተግበሪያው እና በደጋፊ አገልጋዮች መካከል ያለውን ትራፊክ እንዲይዙ እና እንዲቀይሩ የሚያስችልዎ ፕሮክሲዎች ናቸው ። ደህንነታቸው ያልተጠበቁ የመጨረሻ ነጥቦችን፣ የክፍለ ጊዜ ጉድለቶችን ወይም የውሂብ ፍንጮችን ለመለየት ተስማሚ።

ፍሪዳ

ተጠቀም ፡ ወደ አሂድ ሂደቶች የሚያያዝ፣ SSL pinningን፣ root/ jailbreak ፈልጎ ማግኘትን ወይም ሌሎች የደንበኛ-ጎን ገደቦችን እንድታልፍ የሚያግዝ ተለዋዋጭ የመሳሪያ መሳሪያ።

የተለመዱ የፍሪዳ ትዕዛዞች

ድሮዘር (አንድሮይድ)

ተጠቀም ፡ ለደህንነት ድክመቶች እንደ እንቅስቃሴዎች፣ አገልግሎቶች፣ የብሮድካስት ተቀባዮች እና የይዘት አቅራቢዎች ያሉ የአንድሮይድ ክፍሎችን በመቃኘት ላይ ያተኩራል።

የተለመዱ Drozer ትዕዛዞች

ተቃውሞ

ተጠቀም : በፍሪዳ ላይ የተሰራ ነገር ግን እንደ SSL መሰካትን ማሰናከል ወይም የመተግበሪያውን የፋይል ስርዓት ማሰስ ላሉ ተግባራት ቀላል በሆኑ ትዕዛዞች። የስክሪፕት መምህር ካልሆኑ ፍጹም።

የተለመዱ የተቃውሞ ትዕዛዞች

ምሳሌዎች

አንድሮይድ

• የአውታረ መረብ መጥለፍ እና ማሻሻያ

እንደ Burp Suite ባለው መሳሪያ የአንድሮይድ ትራፊክን በማዘዋወር ሞካሪዎች ጥያቄዎችን መጥለፍ እና ማስተካከል ይችላሉ። ለምሳሌ፣ መተግበሪያው በኤችቲቲፒ ላይ ምስክርነቶችን ከላከ ወይም የTLS ሰርተፊኬቶችን በትክክል ማረጋገጥ ካልቻለ አጥቂ ሰው-በመሃል (MITM) ጥቃቶችን ሊፈጽም ይችላል።

POST /login HTTP/1.1 Host: api.example.com Content-Type: application/json { "username": "test_user", "password": "secret_password" }

የክፍለ ጊዜ ቶከኖች፣ የግል መረጃዎች ወይም የክፍያ መረጃ ሊጋለጡ ወይም ሊጠቀሙበት ይችላሉ።

• ሚስጥራዊነት ያለው ውሂብን የሚገልጥ የማረም ምዝግብ ማስታወሻዎች

03-09 12:34:56.789 1234 5678 I MyAppLogger: User token = "abc123XYZ987" 03-09 12:34:56.789 1234 5678 I MyAppLogger: Payment info: "card_number=4111111111111111"

ADB (ወይም ተንኮል አዘል መተግበሪያ) ያለው ማንኛውም ሰው እነዚህን ምዝግብ ማስታወሻዎች ማንበብ እና ሊጠቀምባቸው ይችላል።

• ደህንነታቸው ያልተጠበቁ ተግባራት/የይዘት አቅራቢዎች

  
  

ድሮዘርን በመጠቀም ሞካሪዎች ወደ ውጭ የተላኩ እንቅስቃሴዎችን ወይም ማረጋገጫ የማያስፈልጋቸው ይዘት አቅራቢዎችን ማግኘት ይችላሉ።

drozer console connect run app.provider.query

content://com.example.app.provider/users

ያለአግባብ ፈቃድ ውሂብ ከተመለሰ አጥቂዎች የተጠቃሚውን መረጃ ማንበብ ወይም ማሻሻል ይችላሉ።

• ስርወ ማወቂያን ማለፍ

እንደ Frida ወይም Objection ያሉ መሳሪያዎች በሂደት ጊዜ ስርወ ማወቂያን ወይም SSL መሰካትን እንዲያልፉ ያስችሉዎታል

frida -U -n com.example.app --eval "..." objection -g com.example.app explore android sslpinning disable android root disable ios sslpinning disable ios root disable

ስርወ ተንቀሳቃሽ ስልኮች ላይ ያሉ አጥቂዎች ሚስጥራዊነትን መግለፅ ወይም የመተግበሪያ ሎጂክን ማበላሸት ወደ ሚስጥራዊ ተግባራት መፈተሽ ወይም መንጠቆን መቀጠል ይችላሉ።

iOS

• Jailbreak ማወቂያ ማለፊያ

ብዙ የ iOS መተግበሪያዎች የታሰረ ስልክ ካገኙ አይሰሩም። በ Frida አማካኝነት የመለየት ዘዴውን መንካት እና መሻር ይችላሉ፡-

Interceptor.attach(Module.findExportByName(null, "jailbreakDetectionFunction"), { onEnter: function (args) { console.log("Bypassed jailbreak check!"); // Force return a 'clean' status } });

አጥቂዎች መተግበሪያውን በተጠለፉ መሳሪያዎች ላይ ማስኬድ እና በመረጃ ወይም መንጠቆዎች መሮጥ ይችላሉ።

• በስርዓት ምዝግብ ማስታወሻዎች ውስጥ ሚስጥራዊነት ያለው ውሂብ

2023-03-09 12:34:56.789 MyApp[1234:5678] Payment info: card_number=4111111111111111 2023-03-09 12:34:56.789 MyApp[1234:5678] session_token=abc123XYZ987

በተሰበሩ መሳሪያዎች ላይ - ወይም በውጫዊ የምዝግብ ማስታወሻዎች - አጥቂዎች በቀጥታ ስሱ መረጃዎችን ያጭዳሉ።

በሞባይል ፔንቴቲንግ ውስጥ የተለመዱ ተግዳሮቶች

• የመድረክ ስብርባሪዎች ፡ የአንድሮይድ መሳሪያዎች በስርዓተ ክወና ስሪቶች፣ በብጁ ROMs እና በአምራች ማሻሻያዎች ይለያያሉ፣ ይህም ሙከራን ውስብስብ ያደርገዋል።
• የመተግበሪያ የደህንነት እርምጃዎች ፡ እንደ ኤስኤስኤል መሰካት፣ ስርወ/ማያቋርጥ ፈልጎ ማግኘት እና መደበቅ ያሉ ባህሪያት ወደ ውስጥ መግባትን ሊያደናቅፉ ይችላሉ።
• የምንጭ ኮድ የተገደበ መዳረሻ ፡ የጥቁር ቦክስ ሙከራ ብዙ ጊዜ የሚፈጅ እንደ APKTool ወይም JADX ባሉ መሳሪያዎች የተገላቢጦሽ ምህንድስና ያስፈልገዋል።
• ተለዋዋጭ የትንታኔ ገደቦች ፡- ማጠሪያ፣ የማስታወሻ ጥበቃ እና ስር የሰደዱ/የተሰበሩ መሳሪያዎች አስፈላጊነት የገሃዱ አለም የስራ ፍሰት ሙከራዎችን ያወሳስበዋል።
• የአውታረ መረብ ደህንነት እና ትራፊክ ፍተሻ ፡ SSL መሰካት፣ የምስክር ወረቀት ማረጋገጥ ወይም ቪፒኤን መደበኛ የ MITM ፕሮክሲዎችን ሊከለክል ይችላል። እንደ Frida ፣ Burp Suite እና mitmproxy ያሉ መሳሪያዎች ለማለፍ አስፈላጊ ይሆናሉ።

ተዘውትረው የሚጠየቁ ጥያቄዎች (FAQ)

• የሞባይል ፔንቴቲንግ ምንድን ነው?

  የተንቀሳቃሽ ስልክ መተግበሪያ የእውነተኛ ዓለም ጥቃቶችን በማስመሰል ምን ያህል ደህንነቱ የተጠበቀ እንደሆነ እየሞከረ ነው - አጥቂዎቹ ከማድረጋቸው በፊት ማንኛውንም ስንጥቅ መፈለግ።

• ለምንድነው የሞባይል ፔንቴቲንግ አስፈላጊ የሆነው?

  ስማርትፎኖች ከፍተኛ መጠን ያለው የግል እና የፋይናንሺያል መረጃዎችን ስለሚይዙ የሳይበር ወንጀለኞች ዋነኛ ኢላማዎች ናቸው።

• ዋናዎቹ እርምጃዎች ምንድን ናቸው?

  • ቁጥጥር የሚደረግበት አካባቢን ያዘጋጁ፣ የማይንቀሳቀስ ትንታኔ (SAST) ያድርጉ፣ ተለዋዋጭ ትንታኔ (DAST) ያድርጉ፣ የሰነድ ግኝቶችን ያድርጉ እና ከተስተካከሉ በኋላ እንደገና ይሞክሩ።

• ምን ዓይነት መሳሪያዎች ያስፈልጉኛል?

  Burp Suite ወይም ZAP ለትራፊክ መጥለፍ፣ MobSF ለቃኝ፣ APKTool/JADX (አንድሮይድ)፣ Class-Dump/Hopper (iOS)፣ እና እንደ Frida ወይም Objection ያሉ መንጠቆ መሳሪያዎች።

• በየስንት ጊዜ መበሳት አለብን?

  ከዋና ዝመናዎች፣ አዲስ ባህሪያት ወይም ጉልህ የመሠረተ ልማት ለውጦች በኋላ። በሐሳብ ደረጃ፣ ለቀጣይ ቼኮች ወደ CI/CD ያዋህዱት።

• የተለመዱ ድክመቶች ምንድን ናቸው?

  ደህንነቱ ያልተጠበቀ የውሂብ ማከማቻ፣ ምንም HTTPS የለም፣ ሃርድ ኮድ የተደረገባቸው ምስጢሮች፣ ደካማ የክፍለ-ጊዜ አስተዳደር እና የተሳሳተ የተዋቀሩ ኤፒአይዎች።

• ሁሉም ነገር በራስ-ሰር ሊሠራ ይችላል?

  እውነታ አይደለም። መሳሪያዎች አንዳንድ ፍተሻዎችን በራስ ሰር ማድረግ ይችላሉ፣ ነገር ግን በእጅ መሞከር በጣም አስቸጋሪ የሆኑ የሎጂክ ጉድለቶችን ወይም ውስብስብ የንግድ ደንቦችን ያሳያል።

• ሁለቱንም አንድሮይድ እና አይኦኤስን መሞከር አለብን?

  አዎን, እያንዳንዱ ልዩ የደህንነት ሞዴሎች እና ወጥመዶች አሉት.

• መበጠር ህጋዊ ነው?

  ከመተግበሪያው ባለቤት ግልጽ ፍቃድ ካሎት። ያለበለዚያ ሕገወጥ ነው።

• የት ልጀምር?

  የ OWASP የሞባይል ደህንነት መሞከሪያ መመሪያን (MASTG) አጥኑ፣ መሰረታዊ መቀልበስን ይማሩ እና በክፍት ምንጭ መተግበሪያዎች ወይም የናሙና ኢላማዎች ይለማመዱ።

መደምደሚያ

ተንቀሳቃሽ ስልክ መደወል ልክ እንደ ትልቅ ተልዕኮ ነው - ማርሽ (መሳሪያዎችን እና መሳሪያዎችን) በመሰብሰብ ይጀምራሉ, ከዚያም መሬቱን (SAST) ይቃኙ , እና በመጨረሻም እያንዳንዱን ደካማ ቦታ ለማግኘት የእጅ ላይ አቀራረብ (DAST) ይውሰዱ . ይህንን በመደበኛነት በማድረግ እና ግኝቶችዎን ሪፖርት በማድረግ መተግበሪያዎችዎን ጠንካራ እና የተጠቃሚዎችዎን ደህንነት እንዲጠብቁ ያደርጋሉ።

ያስታውሱ፡ ሶፍትዌር በየቀኑ ይሻሻላል፣ እና ማስፈራሪያዎችም እንዲሁ። የዕድገት ዑደቶችህ ቀጣይ ክፍል የሆነ ንስሐ መግባትን አድርግ—ምክንያቱም መንግሥትን ለማስጠበቅ ምርጡ መንገድ ጥበቃህን ፈጽሞ ባለመፍቀድ ነው።

ስለ ደራሲው

ይህ ጽሑፍ የተዘጋጀው በሴኩርኖ የደህንነት መሞከሪያ መሐንዲስ አናስታሲያ ቶልካቾቫ እና በአሌክስ ሮዝኒያቶቭስኪ ፣ የሴኩርኖ CTO ገምግሟል። አናስታሲያ ከአምስት ዓመት በላይ በዘልማድ ሙከራዎች እና የደህንነት ግምገማዎች ላይ ልምድ ያለው ልምድ አለው። እሷ የዌብ አፕሊኬሽኖችን፣ መሰረተ ልማቶችን (በግቢ እና ደመና) እና የሞባይል መድረኮችን (iOS እና አንድሮይድ) በመሞከር ላይ ትሰራለች። እውቀቷ ከተጋላጭነት ምዘና እና ከምንጭ ኮድ ደህንነት ግምገማዎች ብቃቷ ጎን ለጎን ብላክ ቦክስ፣ ግሬይ ቦክስ እና ነጭ ቦክስ ዘዴዎችን ያጠቃልላል።

አሌክስ በልማት እና በሳይበር ደህንነት የሰባት ዓመት ልምድ አለው። ደህንነቱ የተጠበቀ የኮድ አሰራርን ለማራመድ የቆመ የAWS ክፍት ምንጭ አበርካች ነው። የእሱ ዕውቀት በሶፍትዌር ልማት እና ደህንነት መካከል ያለውን ክፍተት ያስተካክላል፣ ዘመናዊ የድር መተግበሪያዎችን ለመጠበቅ ጠቃሚ ግንዛቤዎችን ይሰጣል።

የሞባይል Pentesting መመሪያ: ማጣቀሻዎች

መሳሪያዎች እና መርጃዎች

1. ሞባይል-ደህንነት-ማዕቀፍ-MobSF
2. አፕቶል
3. ጃድክስ
4. Burp Suite
5. ፍሪዳ
6. ድሮዘር
7. ተቃውሞ
8. Genymotion
9. Corellium ምናባዊ ሃርድዌር
10. appledb.dev
11. ሪፍሉተር
12. መድረክ-መሳሪያዎች
13. ማጊስክ
14. Root Checker
15. checkra1n
16. unc0ver
17. ፊልዛ

መመሪያዎች እና ጽሑፎች

1. OWASP ሞባይል ከፍተኛ 10
2. OWASP የሞባይል መተግበሪያ ደህንነት
3. OWASP MASTG
4. NIST SP 800-163
5. አንድሮይድ ስቱዲዮን ያውርዱ እና ይጫኑ
6. ከ Burp Suite ጋር ለመስራት አንድሮይድ መሳሪያን በማዋቀር ላይ
7. ከ Burp Suite Professional ጋር ለመስራት የiOS መሳሪያን በማዋቀር ላይ
8. የ Xamarin መተግበሪያዎችን መጥለፍ