Μελέτη του πλαισίου VAPT (Vulnerability Assessment and Penetration Testing) για την ενίσχυση της ασφάλειας των κινητών πλατφορμών και εφαρμογών Android και iOS
Abstract
Η παρούσα πτυχιακή εργασία εστιάζει στην αξιολόγηση ευπαθειών (Vulnerability Assessment) και στις δοκιμές διείσδυσης (Penetration Testing) σε κινητές πλατφόρμες Android και iOS, καθώς και στις εφαρμογές τους. Οι κύριοι στόχοι είναι η αναγνώριση, η ανάλυση και ο περιορισμός των πιθανών απειλών που αντιμετωπίζουν οι χρήστες αυτών των εφαρμογών. Η εργασία ξεκινά με την παρουσίαση των βασικών εννοιών και διαφορών μεταξύ της αξιολόγησης ευπαθειών και των δοκιμών διείσδυσης, ενώ ακολουθεί μια λεπτομερής εξέταση των πιο διαδεδομένων μεθοδολογιών στον τομέα αυτό. Μεθοδολογίες όπως η NIST-SP 800-115, το Penetration Testing Execution Standard (PTES) και το OWASP Mobile Security Testing Guide (MSTG) αναλύονται διεξοδικά, παρέχοντας κατευθύνσεις για την εφαρμογή τους στις κινητές πλατφόρμες. Επίσης, γίνεται εκτενής αναφορά στα εργαλεία που χρησιμοποιούνται για την αξιολόγηση των ευπαθειών και την εκμετάλλευση αυτών, όπως τα εργαλεία συλλογής πληροφοριών, ανάλυσης ευπαθειών και εκμετάλλευσης (exploitation tools).
Μέσα από συγκεκριμένα παραδείγματα και περιπτωσιολογικές μελέτες, αναλύονται οι συνήθεις ευπάθειες των εφαρμογών κινητής τραπεζικής (Mobile Banking Applications - MBAs), έναν τομέα που αποκτά ολοένα και μεγαλύτερη σημασία λόγω της εκτεταμένης χρήσης των κινητών συσκευών για τραπεζικές συναλλαγές. Η ασφάλεια αυτών των εφαρμογών είναι κρίσιμη, καθώς οι ευπάθειες όπως η μη ασφαλής αποθήκευση δεδομένων, οι ανεπαρκείς έλεγχοι ταυτότητας και εξουσιοδότησης, και οι ευπάθειες στα δίκτυα επικοινωνίας, μπορούν να οδηγήσουν σε σοβαρές παραβιάσεις δεδομένων και οικονομικές απώλειες. Προτείνονται πρακτικές λύσεις και μέτρα πρόληψης, όπως η κρυπτογράφηση δεδομένων, η εφαρμογή ασφαλών πολιτικών διαχείρισης κωδικών και η εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή των κινδύνων.
Η ανάλυση της συγκεκριμένης μελέτης περίπτωσης καταλήγει με συμπεράσματα που υπογραμμίζουν τη σημασία της συνεχούς βελτίωσης των μέτρων ασφαλείας στις εφαρμογές κινητής τραπεζικής και προτείνει κατευθύνσεις για μελλοντική έρευνα, όπως η διερεύνηση των νέων τεχνολογιών ασφαλείας και η ενσωμάτωση τεχνικών μηχανικής μάθησης για την ανίχνευση και πρόληψη των επιθέσεων.----------------------------------------------------- This thesis focuses on Vulnerability Assessment and Penetration Testing on Android and IOS mobile platforms and their applications. The main objectives are to identify, analyze and mitigate the potential threats faced by the users of these applications. Methodologies such as NIST-SP 800-115, the Penetration Testing Execution Standard (PTES), and the OWASP Mobile Security Testing Guide (MSTG) are thoroughly analyzed, providing guidelines for their application on mobile platforms. There is also an extensive reference to the tools used for vulnerability assessment and exploitation, including information gathering tools, vulnerability analysis tools, and exploitation tools.
Through specific examples and case studies, common vulnerabilities of Mobile Banking Applications (MBAs), a field that is gaining increasing importance due to the widespread use of mobile devices for banking transactions. The security of these applications is critical, as vulnerabilities such as insecure data storage, inadequate authentication and authorization controls, and vulnerabilities in communication networks, can lead to severe data breaches and financial losses. Practical solutions and preventive measures are proposed, such as data encryption, the implementation of secure password management policies, and user education to recognize and avoid risks.
The thesis concludes with findings that emphasize the importance of continuously improving security measures in mobile banking applications and suggests directions for future research, such as the exploration of new security technologies and the integration of machine learning techniques for the detection and prevention of attacks.