امنیت موبایل: راهنمای جامع برای محافظت از اپلیکیشن‌ها

در چشم‌انداز دیجیتال امروزی، اپلیکیشن‌های موبایل در همه جا حضور دارند و نقشی حیاتی در زندگی شخصی و حرفه‌ای ایفا می‌کنند. این استفاده گسترده، اپلیکیشن‌های موبایل را به اهداف اصلی حملات سایبری تبدیل کرده است. حفاظت از این اپلیکیشن‌ها برای محافظت از داده‌های کاربران، حفظ اعتبار برند و تضمین تداوم کسب‌وکار امری حیاتی است. این راهنمای جامع به بررسی جنبه‌های چندوجهی امنیت اپلیکیشن‌های موبایل می‌پردازد و بینش‌ها و بهترین شیوه‌های عملی را برای توسعه‌دهندگان، متخصصان امنیت و سازمان‌ها در سراسر جهان ارائه می‌دهد.

چشم‌انداز رو به رشد تهدیدات برای اپلیکیشن‌های موبایل

چشم‌انداز تهدیدات موبایل به طور مداوم در حال تحول است و مهاجمان از تکنیک‌های پیچیده‌تر برای بهره‌برداری از آسیب‌پذیری‌ها در اپلیکیشن‌های موبایل استفاده می‌کنند. برخی از رایج‌ترین تهدیدات عبارتند از:

• نشت داده‌ها: دسترسی غیرمجاز به داده‌های حساس کاربران، مانند اطلاعات شخصی، جزئیات مالی و اطلاعات احراز هویت. به عنوان مثال، ذخیره‌سازی ابری با امنیت ضعیف برای داده‌های اپلیکیشن می‌تواند سوابق میلیون‌ها کاربر را افشا کند.
• بدافزار: نرم‌افزارهای مخرب که به عنوان اپلیکیشن‌های قانونی پنهان شده‌اند و برای سرقت داده‌ها، اختلال در عملکرد یا به دست آوردن کنترل دستگاه طراحی شده‌اند. نمونه‌ها شامل تروجان‌های بانکی که اطلاعات ورود را می‌دزدند و جاسوس‌افزارهایی که فعالیت کاربر را نظارت می‌کنند، می‌باشند.
• مهندسی معکوس: دیکامپایل و تحلیل کد اپلیکیشن برای کشف آسیب‌پذیری‌ها، نقص‌های منطقی و اطلاعات حساس، مانند کلیدهای API و کلیدهای رمزنگاری.
• تزریق کد: بهره‌برداری از آسیب‌پذیری‌ها در کد اپلیکیشن برای تزریق کد مخرب که می‌تواند دستورات دلخواه را اجرا کند یا سیستم را به خطر بیندازد.
• فیشینگ: فریب دادن کاربران برای افشای اطلاعات حساس از طریق صفحات ورود جعلی، ایمیل‌ها یا پیامک‌هایی که اعلان‌های اپلیکیشن‌های قانونی را تقلید می‌کنند.
• حملات مرد میانی (MitM): رهگیری ارتباطات بین اپلیکیشن و سرور برای سرقت داده‌ها یا تزریق کد مخرب. این امر به ویژه در شبکه‌های Wi-Fi ناامن شایع است.
• رمزنگاری ضعیف: رمزنگاری ضعیف یا پیاده‌سازی نادرست که به راحتی توسط مهاجمان قابل دور زدن است.
• مجوزدهی/احراز هویت ناکافی: نقص در مکانیزم‌های احراز هویت و مجوزدهی اپلیکیشن که به کاربران غیرمجاز اجازه می‌دهد به داده‌ها یا عملکردهای حساس دسترسی پیدا کنند.

این تهدیدات می‌توانند عواقب شدیدی برای کاربران و سازمان‌ها داشته باشند، از جمله زیان‌های مالی، آسیب به اعتبار، مسئولیت‌های قانونی و از دست دادن اعتماد.

اهمیت یک رویکرد امنیتی پیشگیرانه

با توجه به پیچیدگی روزافزون تهدیدات موبایل، اتخاذ یک رویکرد امنیتی پیشگیرانه که نگرانی‌های امنیتی را در سراسر چرخه عمر توسعه اپلیکیشن (SDLC) مد نظر قرار دهد، بسیار حیاتی است. این رویکرد شامل یکپارچه‌سازی امنیت در هر مرحله از توسعه، از طراحی اولیه تا استقرار و نگهداری، می‌شود.

یک رویکرد امنیتی پیشگیرانه شامل موارد زیر است:

• مدل‌سازی تهدید: شناسایی تهدیدات و آسیب‌پذیری‌های بالقوه در مراحل اولیه فرآیند توسعه.
• شیوه‌های کدنویسی امن: پیاده‌سازی تکنیک‌های کدنویسی امن برای جلوگیری از آسیب‌پذیری‌های رایج، مانند نقص‌های تزریق، اسکریپت‌نویسی بین سایتی (XSS) و سرریز بافر.
• تحلیل ایستا و پویا: استفاده از ابزارهای خودکار برای تحلیل کد اپلیکیشن برای یافتن آسیب‌پذیری‌های بالقوه، هم در حین توسعه (تحلیل ایستا) و هم در زمان اجرا (تحلیل پویا).
• تست نفوذ: شبیه‌سازی حملات دنیای واقعی برای شناسایی آسیب‌پذیری‌هایی که ممکن است توسط ابزارهای خودکار نادیده گرفته شوند.
• آموزش آگاهی از امنیت: آموزش توسعه‌دهندگان و سایر ذینفعان در مورد بهترین شیوه‌های امنیت موبایل.
• نظارت مستمر: نظارت بر فعالیت اپلیکیشن برای شناسایی رفتارهای مشکوک و پاسخ سریع به رخدادهای امنیتی.

استراتژی‌های کلیدی برای حفاظت از اپلیکیشن موبایل

در اینجا چند استراتژی کلیدی برای محافظت از اپلیکیشن‌های موبایل شما آورده شده است:

۱. مدل‌سازی تهدید

مدل‌سازی تهدید یک گام اولیه حیاتی در ایمن‌سازی اپلیکیشن‌های موبایل است. این فرآیند شامل شناسایی تهدیدات و آسیب‌پذیری‌های بالقوه در مراحل اولیه توسعه است که به توسعه‌دهندگان اجازه می‌دهد به طور پیشگیرانه به آنها رسیدگی کنند. استفاده از چارچوب‌هایی مانند STRIDE (جعل هویت، دستکاری، انکار، افشای اطلاعات، محروم‌سازی از سرویس، ارتقاء امتیاز) یا PASTA (فرآیند شبیه‌سازی حمله و تحلیل تهدید) را در نظر بگیرید.

مثال: تصور کنید در حال توسعه یک اپلیکیشن بانکداری موبایل هستید. یک مدل تهدید، تهدیداتی مانند موارد زیر را در نظر می‌گیرد:

• جعل هویت: یک مهاجم یک اپلیکیشن بانکی جعلی برای سرقت اطلاعات کاربری ایجاد می‌کند.
• دستکاری: یک مهاجم کد اپلیکیشن را برای انتقال وجه به حساب خود تغییر می‌دهد.
• افشای اطلاعات: یک مهاجم به موجودی حساب یا تاریخچه تراکنش‌های کاربر دسترسی پیدا می‌کند.

با شناسایی این تهدیدات، توسعه‌دهندگان می‌توانند کنترل‌های امنیتی مناسب را برای کاهش خطرات پیاده‌سازی کنند.

۲. شیوه‌های کدنویسی امن

شیوه‌های کدنویسی امن برای جلوگیری از آسیب‌پذیری‌های رایج در اپلیکیشن‌های موبایل ضروری هستند. این موارد شامل:

• اعتبارسنجی ورودی: همیشه ورودی کاربر را برای جلوگیری از حملات تزریق، اعتبارسنجی کنید. این شامل اعتبارسنجی نوع، فرمت و طول داده است.
• کدگذاری خروجی: داده‌های خروجی را برای جلوگیری از حملات XSS کدگذاری کنید.
• پاک‌سازی داده‌ها: داده‌ها را برای حذف کاراکترها یا کدهای بالقوه مضر پاک‌سازی کنید.
• مدیریت خطا: مدیریت خطای قوی برای جلوگیری از نشت اطلاعات و حملات محروم‌سازی از سرویس پیاده‌سازی کنید. از نمایش اطلاعات حساس در پیام‌های خطا خودداری کنید.
• ذخیره‌سازی امن داده‌ها: داده‌های حساس را با استفاده از رمزنگاری و کنترل‌های دسترسی مناسب به صورت امن ذخیره کنید. استفاده از مکانیزم‌های ذخیره‌سازی امن مخصوص پلتفرم مانند Keychain در iOS و Keystore در Android را در نظر بگیرید.
• اصل حداقل امتیاز: به کاربران و اپلیکیشن‌ها فقط مجوزهای لازم برای انجام وظایفشان را اعطا کنید.
• به‌روزرسانی‌های منظم: اپلیکیشن و وابستگی‌های آن را برای رفع آسیب‌پذیری‌های شناخته‌شده به‌روز نگه دارید.

مثال: هنگام مدیریت ورودی کاربر برای فیلد رمز عبور، همیشه پیچیدگی و طول رمز عبور را اعتبارسنجی کنید. رمز عبور را با استفاده از یک الگوریتم هش قوی مانند bcrypt یا Argon2 به صورت امن ذخیره کنید.

۳. احراز هویت و مجوزدهی

مکانیزم‌های قوی احراز هویت و مجوزدهی برای محافظت از حساب‌های کاربری و داده‌های حساس بسیار حیاتی هستند. پیاده‌سازی بهترین شیوه‌های زیر را در نظر بگیرید:

• احراز هویت چندعاملی (MFA): برای افزایش امنیت، از کاربران بخواهید چندین شکل احراز هویت، مانند رمز عبور و یک کد یک‌بار مصرف، ارائه دهند.
• سیاست‌های رمز عبور قوی: سیاست‌های رمز عبور قوی را اعمال کنید که کاربران را ملزم به ایجاد رمزهای عبور پیچیده و تغییر منظم آنها می‌کند.
• مدیریت امن نشست: تکنیک‌های مدیریت امن نشست را برای جلوگیری از ربودن نشست و دسترسی غیرمجاز پیاده‌سازی کنید. از زمان‌های کوتاه انقضای نشست استفاده کنید و شناسه‌های نشست را پس از احراز هویت مجدداً تولید کنید.
• OAuth 2.0 و OpenID Connect: از پروتکل‌های احراز هویت استاندارد صنعتی مانند OAuth 2.0 و OpenID Connect برای واگذاری امن مجوز و احراز هویت استفاده کنید.
• بررسی‌های مناسب مجوزدهی: بررسی‌های مناسب مجوزدهی را برای اطمینان از اینکه کاربران فقط به منابع و عملکردهایی که مجاز به استفاده از آنها هستند دسترسی دارند، پیاده‌سازی کنید.

مثال: برای یک اپلیکیشن رسانه اجتماعی، از OAuth 2.0 استفاده کنید تا به کاربران اجازه دهید با استفاده از حساب‌های موجود خود در پلتفرم‌هایی مانند فیسبوک یا گوگل وارد شوند. کنترل‌های مجوزدهی دقیق را برای اطمینان از اینکه کاربران فقط به پست‌ها و پروفایل‌های خود دسترسی دارند، پیاده‌سازی کنید.

۴. حفاظت از داده‌ها

حفاظت از داده‌های حساس در امنیت اپلیکیشن‌های موبایل امری حیاتی است. اقدامات زیر را برای محافظت از داده‌های کاربر پیاده‌سازی کنید:

• رمزنگاری: داده‌های حساس را در حالت سکون و در حین انتقال با استفاده از الگوریتم‌های رمزنگاری قوی، رمزنگاری کنید. برای تمام ارتباطات شبکه از HTTPS استفاده کنید.
• پوشاندن داده‌ها (Data Masking): داده‌های حساس مانند شماره کارت اعتباری و شماره تأمین اجتماعی را برای جلوگیری از دسترسی غیرمجاز بپوشانید.
• به حداقل رساندن داده‌ها: فقط داده‌هایی را که برای عملکرد اپلیکیشن ضروری است جمع‌آوری کنید.
• ذخیره‌سازی امن داده‌ها: داده‌های حساس را با استفاده از مکانیزم‌های ذخیره‌سازی امن مخصوص پلتفرم مانند Keychain در iOS و Keystore در Android به صورت امن ذخیره کنید. این مکانیزم‌های ذخیره‌سازی را با رمزهای عبور قوی یا احراز هویت بیومتریک محافظت کنید.
• پیشگیری از از دست رفتن داده‌ها (DLP): اقدامات DLP را برای جلوگیری از خروج داده‌های حساس از دستگاه یا شبکه بدون مجوز پیاده‌سازی کنید.

مثال: در یک اپلیکیشن مراقبت‌های بهداشتی، سوابق پزشکی بیمار را در حالت سکون با استفاده از رمزنگاری AES-256 رمزنگاری کنید. از HTTPS برای رمزنگاری تمام ارتباطات بین اپلیکیشن و سرور استفاده کنید. برای محافظت از شناسه‌های بیمار هنگام نمایش داده‌ها به کاربرانی با حقوق دسترسی محدود، از پوشاندن داده‌ها استفاده کنید.

۵. امنیت شبکه

ایمن‌سازی ارتباطات شبکه برای محافظت از اپلیکیشن‌های موبایل در برابر حملات مرد میانی (MitM) و نشت داده‌ها بسیار حیاتی است. بهترین شیوه‌های زیر را در نظر بگیرید:

• HTTPS: برای رمزنگاری داده‌ها در حین انتقال، از HTTPS برای تمام ارتباطات شبکه استفاده کنید. اطمینان حاصل کنید که از یک گواهی SSL/TLS معتبر از یک مرجع صدور گواهی قابل اعتماد استفاده می‌کنید.
• الصاق گواهینامه (Certificate Pinning): برای جلوگیری از حملات MitM با تأیید گواهی SSL/TLS سرور در برابر یک گواهی شناخته‌شده و معتبر، الصاق گواهینامه را پیاده‌سازی کنید.
• APIهای امن: از APIهای امنی استفاده کنید که توسط مکانیزم‌های احراز هویت و مجوزدهی محافظت می‌شوند. تمام داده‌های ورودی را برای جلوگیری از حملات تزریق، اعتبارسنجی کنید.
• VPN: کاربران را تشویق کنید هنگام اتصال به شبکه‌های Wi-Fi عمومی از VPN استفاده کنند.
• نظارت بر شبکه: ترافیک شبکه را برای فعالیت‌های مشکوک نظارت کنید.

مثال: برای یک اپلیکیشن تجارت الکترونیک، از HTTPS برای رمزنگاری تمام ارتباطات بین اپلیکیشن و درگاه پرداخت استفاده کنید. برای جلوگیری از رهگیری اطلاعات پرداخت توسط مهاجمان، الصاق گواهینامه را پیاده‌سازی کنید.

۶. حفاظت در برابر مهندسی معکوس

حفاظت از اپلیکیشن شما در برابر مهندسی معکوس برای جلوگیری از کشف آسیب‌پذیری‌ها و سرقت اطلاعات حساس توسط مهاجمان بسیار حیاتی است. تکنیک‌های زیر را در نظر بگیرید:

• مبهم‌سازی کد: کد اپلیکیشن خود را مبهم‌سازی کنید تا درک و مهندسی معکوس آن دشوارتر شود.
• تکنیک‌های ضد-دیباگ: تکنیک‌های ضد-دیباگ را برای جلوگیری از دیباگ کردن اپلیکیشن شما توسط مهاجمان پیاده‌سازی کنید.
• تشخیص روت/جیلبریک: تشخیص دهید که آیا اپلیکیشن روی یک دستگاه روت شده یا جیلبریک شده در حال اجرا است و اقدامات مناسبی مانند خاتمه دادن به اپلیکیشن یا غیرفعال کردن برخی ویژگی‌ها را انجام دهید.
• بررسی‌های یکپارچگی: بررسی‌های یکپارچگی را برای تأیید اینکه اپلیکیشن دستکاری نشده است، پیاده‌سازی کنید.

مثال: از مبهم‌سازی کد برای تغییر نام کلاس‌ها، متدها و متغیرها به نام‌های بی‌معنی استفاده کنید. تشخیص روت/جیلبریک را برای جلوگیری از اجرای اپلیکیشن روی دستگاه‌های به خطر افتاده پیاده‌سازی کنید. تکنیک‌های مبهم‌سازی خود را به طور منظم به‌روز کنید تا از ابزارهای مهندسی معکوس جلوتر بمانید.

۷. تست اپلیکیشن موبایل

تست کامل برای شناسایی و رفع آسیب‌پذیری‌ها در اپلیکیشن‌های موبایل ضروری است. انواع تست‌های زیر را انجام دهید:

• تحلیل ایستا: از ابزارهای خودکار برای تحلیل کد اپلیکیشن برای آسیب‌پذیری‌های بالقوه مانند سرریز بافر، نقص‌های تزریق و ذخیره‌سازی ناامن داده‌ها استفاده کنید.
• تحلیل پویا: از ابزارهای تحلیل پویا برای نظارت بر رفتار اپلیکیشن در زمان اجرا و شناسایی آسیب‌پذیری‌ها مانند نشت حافظه، کرش‌ها و ارتباطات شبکه ناامن استفاده کنید.
• تست نفوذ: حملات دنیای واقعی را برای شناسایی آسیب‌پذیری‌هایی که ممکن است توسط ابزارهای خودکار نادیده گرفته شوند، شبیه‌سازی کنید.
• تست قابلیت استفاده: تست قابلیت استفاده را برای اطمینان از اینکه اپلیکیشن کاربرپسند و امن است، انجام دهید.
• تست رگرسیون امنیتی: پس از رفع آسیب‌پذیری‌ها، تست رگرسیون امنیتی را برای اطمینان از اینکه اصلاحات، آسیب‌پذیری‌های جدیدی را معرفی نکرده‌اند، انجام دهید.

مثال: از یک ابزار تحلیل ایستا مانند SonarQube برای شناسایی آسیب‌پذیری‌های بالقوه کد استفاده کنید. تست نفوذ را برای شبیه‌سازی حملاتی مانند تزریق SQL و XSS انجام دهید. ممیزی‌های امنیتی منظم را برای اطمینان از اینکه اپلیکیشن شما با استانداردهای امنیتی مطابقت دارد، انجام دهید.

۸. نظارت و ثبت وقایع

نظارت مستمر و ثبت وقایع برای شناسایی و پاسخ به رخدادهای امنیتی بسیار حیاتی است. اقدامات زیر را پیاده‌سازی کنید:

• ثبت تمام رویدادهای مرتبط با امنیت: تمام رویدادهای مرتبط با امنیت مانند تلاش‌های احراز هویت، شکست‌های مجوزدهی و دسترسی به داده‌ها را ثبت کنید.
• نظارت بر فعالیت اپلیکیشن برای رفتارهای مشکوک: فعالیت اپلیکیشن را برای رفتارهای مشکوک مانند تلاش‌های ورود غیرمعمول، انتقال حجم زیادی از داده‌ها و تلاش‌های دسترسی غیرمجاز نظارت کنید.
• پیاده‌سازی هشدار در زمان واقعی: هشدارهای در زمان واقعی را برای اطلاع‌رسانی به پرسنل امنیتی از رخدادهای امنیتی بالقوه پیاده‌سازی کنید.
• بررسی منظم لاگ‌ها: لاگ‌ها را به طور منظم برای شناسایی روندها و الگوهای امنیتی بررسی کنید.

مثال: تمام تلاش‌های ناموفق برای ورود، از جمله شناسه کاربری و آدرس IP را ثبت کنید. ترافیک شبکه را برای انتقال داده‌های غیرمعمول نظارت کنید. هشدارهای در زمان واقعی را برای اطلاع‌رسانی به پرسنل امنیتی از یک حمله brute-force بالقوه پیاده‌سازی کنید.

۹. واکنش به رخداد

داشتن یک برنامه واکنش به رخداد مشخص برای پاسخگویی مؤثر به رخدادهای امنیتی بسیار حیاتی است. برنامه واکنش به رخداد باید شامل مراحل زیر باشد:

• شناسایی: رخداد امنیتی را شناسایی کرده و تأثیر آن را ارزیابی کنید.
• مهار: رخداد امنیتی را برای جلوگیری از آسیب بیشتر مهار کنید.
• ریشه‌کنی: علت اصلی رخداد امنیتی را ریشه‌کن کنید.
• بازیابی: سیستم را به حالت عملیاتی عادی خود بازگردانید.
• درس‌های آموخته‌شده: درس‌های آموخته‌شده از رخداد امنیتی را مستند کرده و از آنها برای بهبود اقدامات امنیتی استفاده کنید.

مثال: اگر نشت داده شناسایی شد، فوراً با ایزوله کردن سیستم‌های آسیب‌دیده، نشت را مهار کنید. با وصله کردن نرم‌افزار آسیب‌پذیر، علت اصلی نشت را ریشه‌کن کنید. سیستم را به حالت عملیاتی عادی بازگردانده و به کاربران آسیب‌دیده اطلاع دهید.

۱۰. آموزش آگاهی از امنیت

آموزش آگاهی از امنیت برای آموزش توسعه‌دهندگان و سایر ذینفعان در مورد بهترین شیوه‌های امنیت موبایل بسیار حیاتی است. این آموزش باید موضوعاتی مانند موارد زیر را پوشش دهد:

• تهدیدات رایج موبایل: توسعه‌دهندگان را در مورد تهدیدات رایج موبایل مانند بدافزار، فیشینگ و مهندسی معکوس آموزش دهید.
• شیوه‌های کدنویسی امن: به توسعه‌دهندگان شیوه‌های کدنویسی امن را برای جلوگیری از آسیب‌پذیری‌های رایج آموزش دهید.
• بهترین شیوه‌های حفاظت از داده‌ها: توسعه‌دهندگان را در مورد بهترین شیوه‌های حفاظت از داده‌ها مانند رمزنگاری، پوشاندن داده‌ها و به حداقل رساندن داده‌ها آموزش دهید.
• روش‌های واکنش به رخداد: توسعه‌دهندگان را در مورد روش‌های واکنش به رخداد آموزش دهید تا بدانند چگونه به رخدادهای امنیتی پاسخ دهند.

مثال: آموزش‌های آگاهی از امنیت منظم برای توسعه‌دهندگان، شامل تمرینات عملی و مثال‌های دنیای واقعی برگزار کنید. به توسعه‌دهندگان دسترسی به منابع و ابزارهای امنیتی را فراهم کنید.

استانداردها و دستورالعمل‌های امنیت موبایل

چندین سازمان استانداردها و دستورالعمل‌های امنیت موبایل را ارائه می‌دهند که می‌توانند به سازمان‌ها در بهبود وضعیت امنیتی موبایل خود کمک کنند. برخی از برجسته‌ترین استانداردها و دستورالعمل‌ها عبارتند از:

• پروژه امنیت موبایل OWASP: پروژه امنیت موبایل OWASP مجموعه جامعی از منابع برای ایمن‌سازی اپلیکیشن‌های موبایل، از جمله راهنمای تست امنیت موبایل (MSTG) و استاندارد تأیید امنیت اپلیکیشن موبایل (MASVS) را ارائه می‌دهد.
• دستورالعمل‌های NIST: مؤسسه ملی استاندارد و فناوری (NIST) دستورالعمل‌هایی برای ایمن‌سازی دستگاه‌ها و اپلیکیشن‌های موبایل ارائه می‌دهد، از جمله نشریه ویژه NIST 800-124 بازبینی ۱، دستورالعمل‌هایی برای مدیریت امنیت دستگاه‌های موبایل در سازمان.
• دستورالعمل‌های امنیتی پذیرش پرداخت موبایلی PCI DSS: استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS) دستورالعمل‌هایی برای ایمن‌سازی اپلیکیشن‌های پرداخت موبایلی ارائه می‌دهد.

نتیجه‌گیری

امنیت اپلیکیشن‌های موبایل یک حوزه پیچیده و در حال تحول است. با اتخاذ یک رویکرد امنیتی پیشگیرانه، پیاده‌سازی استراتژی‌های امنیتی کلیدی، و به‌روز ماندن در مورد آخرین تهدیدات و بهترین شیوه‌ها، سازمان‌ها می‌توانند از اپلیکیشن‌های موبایل خود محافظت کرده و داده‌های کاربران را حفظ کنند. به یاد داشته باشید که امنیت یک فرآیند مداوم است، نه یک راه‌حل یک‌باره. نظارت مستمر، تست منظم و آموزش مداوم آگاهی از امنیت برای حفظ یک وضعیت امنیتی قوی ضروری است. همانطور که فناوری موبایل به تکامل خود ادامه می‌دهد، شیوه‌های امنیتی ما نیز باید برای مقابله با چالش‌های فردا تکامل یابند.