دانلود رایگان ترجمه مقاله امنیت ابری سیار (ساینس دایرکت – الزویر ۲۰۱۷)

مبتدی (مناسب برای درک مفهوم کلی مطلب) 

مرورگر های محبوب، مانند گوگل کروم، موزیلا فایرفاکس و اپرا، از استاندارد های ذخیره سازیِ وب برای ذخیره ی داده ها در حافظه ی نهان بهره می برند. ذخیره سازی وب را می توان به عنوان بخشی از HTML5 معرفی کرد که توسط اتحادیه ی (کنسرسیوم) جهانی وب(W3C) استاندارد سازی شده است. ذخیره سازی وب شامل دو بخش عمده می شود: ذخیره سازی محلی و جلسه ی ذخیره سازی، که به ترتیب رفتار مشابهی مانند کوکی های ماندگار و جلسه ی کوکی ها از خودشان نشان می دهند. جلسه ی ذخیره سازی تا باز شدنِ صفحه ی وب، منابعِ وب را ذخیره می کند. در موردِ ذخیره سازی محلی، تا زمانی که مرورگر بسته است، حافظه ی نهان تولید شده بر روی دستگاه ها باقی می ماند]۵۵[.
در هر دو محیطِ کامپیوتر های شخصی و دستگاه های تلفن همراه، ذخیره سازی وب امنیت بیشتری نسبت به حافظه ی نهان مرورگر بومی دارد. با توجه به W3C، ذخیره سازی وب اگر به درستی اجرا شود، می تواند برای ذخیره ی اطلاعات حساس کاربر استفاده شود]۵۵[.در دستگاه های اندروید، ذخیره سازی وب معمولا از حافظه ی داخلی دستگاه استفاده می کند(مانند داده/داده/ نام بسته/ فهرست راهنما(دایرکتوری)). بنابراین، این موارد ذخیره شده در حافظه ی نهان نمی توانند به غیر از برنامه مالک توسط هیچ کاربر و برنامه ی دیگری مورد دسترسی قرار گیرند.
با این حال، ذخیره سازی وب توسط حجم حافظه ی نهان محدود می شود. برای استفاده ی عمومی، W3C توصیه می کند که از حجم ذخیره سازی ۵مگابیت در هر وب سایت استفاده شود، اما این حجم می تواند در هنگام اجرا بر روی دستگاه های تلفن همراه کاهش یابد. مرورگر های سبک معمولا برای بهبود سرعت بارگذاریِ مرورگر بر روی حافظه های نهان بزرگتر تکیه می کنند. بنابراین، این مرورگر ها اغلب مقدار زیادی از داده های حافظه ی نهانِ خارج از ذخیره سازی وب را در ذخیره سازیِ خارجی انبار می کنند(مانند کارتِ SD).
در دستگاه های اندروید، حافظه ی داخلی به طور کلی برای داده های برنامه، امنیت ذخیره سازیِ محلی بیشتری در نظر گرفته است، چرا که، به طور پیش فرض، داده های ذخیره شده تنها می توانند توسط برنامه ی خالق مورد دسترسی یا تغییر قرار گیرند. در مقایسه، هر گونه منابعِ ذخیره شده در ذخیره سازیِ خارجی توسط هر برنامه ای که اجازه ی READ_EXTERNAL_STORAGE را دارد، می توانند مورد دسترسی، تغییر یا حذف قرار گیرد]۱۶[.

۳٫ کار مربوطه
امنیت وب(نرم افزار) دارای تحقیقات متمرکزی در چندین سال بوده است]۴۰[. مرورگرهای رایانه های شخصی، لپ تاپ ها و دستگاه های تلفن همراه، قوانین اساسی برای بارگذاری صفحات وب و ارتباط با سرورها را به اشتراک می گذارند. بنابراین، متون موجود در مورد امنیت مرورگر تمایل به تمرکز بر روی مرورگر های “سنتی” دارد (برای رایانه های شخصی و لپ تاپ ها)، و همچنین تمرکز بر روی امنیت شبکه های دیگر و یا بر روی تشخیص وب سایت های مخرب است(نگاه کنید به ]۱۸،۱۹،۲۱،۲۴،۵۰[).
در سال ۲۰۱۴، Wadka، Misha و Dixit یک “سیستم پاسخ” را ارائه دادند که روشِ کار آن نظارت بر روی جلوگیری از نشت اطلاعات از مرورگر است]۵۳[. “سیستم پاسخ” یک رابط بین برنامه ی مرورگر و هسته ی سیستم عامل(لینوکس) است، که در طول اجرایِ روندِ مرورگر استناد می کند. محققان یک لایه ی میانی بین هسته و لایه ی برنامه پیشنهاد کردند که “سیستم پاسخ” را کنترل می کند و اطلاعات شخصی که در طول مرور به بیرون درز پیدا می کند را فیلتر می کند.
Virvilis و همکارانش] ۵۲[ تاثیراتِ روش فیلترینگِ لیست سیاه در مرورگر ها را ارزیابی کردند که برای جلوگیریِ کاربران از دیدن صفحه های وب مخرب طراحی شده است. در تحقیق مرتبطی دیگر، Amrutkar و همکارانش] ۲[ یک مدل تهدید را ارائه کردند، که این مدل امکان کشف ضعف های معماری بر روی دستگاه های تلفن همراه و مرورگرها را امکان پذیر می کند. محققین مسیر های حمله، مانند نمایش بالونی، جعل درخواست میان وبگاهی(CSRF) و سرقت از طریق کلیک کردن(ClickJacking) را نشان دادند، که می توانند برای فیشینگ یا به طور مستقیم برای سرقت اطلاعات از دستگاه های کاربران استفاده شوند(جدول۲).
اخیرا در سال ۲۰۱۵، Amrutkar، Traynor و van Oorschot ]3[ شاخص های امنیتیِ(بر اساس دستورالعمل امنیتیِ W3C-]46[) مورد استفاده در مرورگر های محبوب تلفن همراه را ارزیابی می کنند. برای مثال، آنها این مسئله را بررسی می کنند که آیا مرورگر، هویت صاحب سایت و صادرکننده گواهی نامه را تعیین می کنند یا نه! و همچنین اینکه آیا مرورگر از فیلترِ URL ضد فیشینگ استفاده می کند یا نه! خلاصه ای از این تحقیق برای گوگل کروم و موزیلا فایرفاکس در جدول ۴ ارائه شده است.
مطالعات قبلی، حافظه ی نهان را به عنوان یک مسیر بالقوه به سازش حریم خصوصی کاربر بر روی ارتباطات مرورگر شناخته است]۴۷،۶،۸[. به عنوان مثال، Bernstein ]7[نشان داد که یک مهاجم می تواند رفتارهای مرورِ وبِ کاربر را توسط محاسبه ی زمان بارگذاریِ محتوا شناسایی کند. از آن زمان، چندین راه حل برای کاهش چنین حمله هایی پیشنهاد شده است]۲۸،۳۰،۳۷[.
مطالعات موجود به طور کلی بر روی حفاظت از اطلاعات کاربران در حالی که آنها داده های خود را در طول شبکه منتقل می کنند، متمرکز است. با توجه به محبوبیت دستگاه های تلفن همراه، مرورگر ها به طور فزاینده ای مورد هدفِ مجرمان سایبری هستند که به دنبال بهره برداری از مسائل امنیتی ذاتی، مانند بهره برداری از مجوز کاربر و مجوز فایل هستند. به عنوان مثال، Hay ]22[ نشان داد که چگونه نقص های امنیتی مرورگرِ Opera میتواند توسط مهاجم برای دزدیدن اطلاعات شخصی کاربر با بهره برداری از مجوز فایل از حافظه ی نهانِ مرورگرِ Opera مورد سوء استفاده قرار بگیرد.
Jia و همکارانش ]۲۶[قدرت امنیتیِ حافظه ی نهان مرورگرِ ۵ کامپیوتر و ۱۵ تلفن همراه را مورد ارزیابی قرار دادند تا تعیین کنند که آنها در معرضِ خطرِ مسمومیتِ حافظه ی نهان مرورگر(BCP) در یک مرد در وسط حمله(MITM) هستند یا نه! محققین نتیجه گرفتند که هر ۵ مرورگر کامپیوتر و اغلب مرورگر های تلفن همراهِ مورد بررسی در این تحقیق در معرضِ چنین خطری هستند. در کار مربوطه، Jia و همکارانش]۲۷ [یک روش برای شناساییِ موقعیت جغرافیایی کاربر تلفن همراه(مانند کشور، شهرستان و محله) توسط خرناس در حافظه ی نهان مرورگر و اندازه گیری زمان مورد نیازِ حافظه ی نهان مرورگر ارائه کردند. یک رویکرد مشابه توسط Liang و همکارانش]۳۲[ ارائه شده است، که نشان دهنده ی تاریخچه ی مرورِ کاربر است که می تواند با استفاده از زمانی که حمله بیش از حافظه ی مرورگر است ربوده شود.

امنیت ذخیره سازی در اندروید نیز اخیرا مورد توجه محققین بوده. در سال ۲۰۱۵، برای مثال، Liu و همکارانش ]۳۴[ بر روی رفتار های ذخیره سازی داده های برنامه ی اندروید مطالعه کرده اند. آنها داده های ذخیره شده توسط برنامه های ارتباطیِ محبوب را مورد بررسی قرار دادند(مانند ویبو، فیسبوک، اینستاگرام، لاین، اسکایپ و وایبر) برای اینکه تعیین کنند چه مقدار از داده های خصوصی کاربران از این برنامه ها بدون آگاهیِ کاربران توسط مهاجم قابل دزدین است. این مطالعه همچنین نشان می دهد که امنیت اطلاعات خصوصی کاربران وابسته به این است که آیا طراحِ برنامه این اطلاعات را حساس یا غیر حساس تعیین کرده است. داده هایی توسط طراحِ برنامه غیر حساس در نظر گرفته خواهد شد که به منظور اشتراک در حافظه ی ذخیره سازیِ خارجی ذخیره شده باشد، که در دسترس دیگر کاربران هم قرار می گیرد. با این حال، هیچ تعریف یکسانی برای داده های حساس و غیر حساس وجود ندارد. این مسئله نشان دهنده ی این است که در بعضی موارد، شماره تلفن، لیست تماس و دیگر اطلاعات خصوصیِ کاربر به دست آمده از فایل های عمومی به اشتراک گذاشته شده توسط کاربر است.