Mobil ilovani kiberxavfsizlik talablariga muvofiqligi yuzasidan ekspertiza — bu mobil ilovaning (Android yoki iOS) xavfsizlik jihatlarini sinchiklab o‘rganish, baholash va mavjud xavfsizlik standartlariga (masalan, OWASP Mobile Top 10) muvofiqligini aniqlash jarayonidir.

Mobil ilovani trafigini tahlil qilgan holda, hamda ilova teskari muhandislik kodidagi faqatgina buyurtmachiga tegishli bo’lgan domen va IP manzillarini kiberxavfsizlik zaifliklari bo’yicha OSINT xizmatini amalga oshirish.

Android yoki iOS mobil ilovasining kiberxavfsizlik talablariga muvofiqligi yuzasidan ekspertizasi, ish hajmining murakkabligini hisobga olgan holda 60 kalendar kunigacha vaqt talab etishi mumkin.

• Mobil ilova — bu foydalanuvchining telefonida yoki planshetida ishlaydigan maxsus dastur.

• Axborot tizimi — bu bir nechta komponentlardan iborat bo‘lgan tizim bo‘lib, u ma’lumotlarni yig‘ish, saqlash, qayta ishlash va tarqatish uchun ishlatiladi.

🎯 Yakuniy xulosa:

• Mobil ilova — bu axborot tizimining interfeysi yoki vositasi bo‘lishi mumkin.
• Axborot tizimi esa — bu kengroq tushuncha, unda mobil ilova faqat bitta qismdir.

📱🔐 Mobil ilovalarni kiberxavfsizlik ekspertizasi (ya’ni xavfsizlik testlari, audit yoki baholash) muayyan xalqaro standartlar va metodologiyalar asosida amalga oshiriladi.

📘 1. OWASP Mobile Security Project

Bu eng mashhur va amaliy mobil ilovalar xavfsizligini baholash metodologiyasi hisoblanadi.

📌 Asosiy komponentlari:

• OWASP Mobile Top 10 — mobil ilovalardagi eng ko‘p uchraydigan 10 ta xavf:
  • Misol: M1 – Insecure Data Storage, M3 – Insecure Communication
• MASVS — Mobile Application Security Verification Standard
  → Mobil ilovalarga test talablari to‘plami. Masalan:
  • MA-1: Ilova ma’lumotlarni shifrlash orqali saqlashi kerak
  • CRY-1: Shifrlash mexanizmlari to‘g‘ri bo‘lishi kerak
• MSTG — Mobile Security Testing Guide
  → Amaliy test qo‘llanmasi, pentesterlar uchun juda foydali.

📎 Rasmiy sayti: owasp.org/mobile

📘 2. PTES (Penetration Testing Execution Standard)

• Umumiy pentest jarayonini belgilaydi:
  • Rejalashtirish
  • Razvedka
  • Tahlil
  • Ekspluatatsiya
  • Hisobot tayyorlash
• Mobil ilova emas, balki jarayonga oid, ammo foydali pentest strukturasi beradi.

📘 3. NIST SP 800-163 & 800-53

• AQSH hukumati tomonidan ishlab chiqilgan standartlar.
• Mobil ilovalar xavfsizligi talablari, ishlab chiqish va baholash uchun mo‘ljallangan.
• SP 800-163: Mobil ilovalarni baholash yo‘riqnomasi
• SP 800-53: Tizim xavfsizlik nazoratlari (ilovalarga ham taalluqli)

📘 4. ISO/IEC 27034 — Application Security

• Dasturiy ta’minot xavfsizligi uchun ISO standarti.
• Mobil ilovalar ham dasturiy ta’minot bo‘lgani uchun — mos keladi.
• Korporativ yoki davlat tashkilotlarida keng ishlatiladi.

📘 5. Google / Apple Developer Security Guidelines

Mobil ilovalar App Store yoki Play Marketga joylanayotgan bo‘lsa:

• Ular Google Play Protect va Apple App Store Security talablariga ham javob berishi kerak.
• Masalan:
  • Runtime permissions
  • Secure network communication
  • Jailbreak/root detection

🧪 Qo‘shimcha metodologik yondashuvlar:

• Dynamic Analysis (runtime test) – ilovani ish holatida test qilish (burp, frida, etc.)
• Static Analysis – source code yoki APK faylni tahlil qilish (MobSF, QARK, jadx)
• Reverse Engineering – .apk yoki .ipa faylni tahlil qilish
• API Security Testing – ilovaning orqa tarafdagi (backend) API larini test qilish (OWASP API Top 10 asosida)

✅ Yakuniy tavsiya

Agar siz mobil ilovani kiberxavfsizlik ekspertizasidan o‘tkazmoqchi bo‘lsangiz, quyidagi tartibda ishlash tavsiya etiladi:

1. OWASP MASVS ni talablar sifatida ishlating.
2. MSTG yordamida testlarni bajaring (statik, dinamik, kod tahlili).
3. Agar tashkilot ISO sertifikatga ega bo‘lsa — ISO 27034 yoki NIST standartlarini qo‘shing.
4. Test hisobotini OWASP formatida tayyorlang (xavf darajasi, ta’siri, tavsiya).

…