Търсене
Close this search box.

Когато става въпрос за уязвимости на мобилни приложения, специалистите по сигурността често мислят за атаки от типа „нулев ден“ или за опити за достъп до чувствителни данни. Това са съвсем реални заплахи, но трябва да се вземат предвид и по-нюансирани атаки, като обратното инженерство и закачането. Тези атаки се възползват от твърде тясното разбиране на индустрията за мобилна или клиентска сигурност, което често се простира до инфраструктурата на устройствата и не повече.

Instagram разбра това по трудния начин през 2022 г., когато Алесандро Палуци, разработчик, известен с обратното инженерство на мобилни приложения, забеляза неиздадена функция, подобна на популярното приложение BeReal. Идентифицирайки функцията в кода на мобилното приложение, Палуци не беше възпрепятстван от никакви защити на ниво устройство.

Мобилните приложения представляват уникално предизвикателство за сигурността, тъй като много от техните процеси и код се изпълняват на устройството на потребителя, което ги прави по-податливи на анализ и подправяне. Специалистите по сигурността трябва да разширят разбирането си за сигурността от страна на клиента, за да защитят мобилните приложения от съвременните сложни заплахи.

 

Въздействие на компрометирано мобилно приложение

Има много начини, по които компрометирано мобилно приложение може да окаже отрицателно въздействие върху бизнеса, включително:

  • Открадната интелектуална собственост и загубено конкурентно предимство
  • Увреждане на марката и доверието на потребителите
  • Загуба на приходи поради модифицирани версии на приложението, качени в магазини на трети страни
  • Глоби за регулаторни нарушения

Разгледайте изтичането на тренажора за гребане Peloton. През 2021 г. 9to5Google потвърди наличието на непроизведена  машина Peloton въз основа на подробности, открити в нейното приложение за Android. Това изтичане на информация вероятно е подкопало планираните маркетингови усилия, поставило е под въпрос сигурността на приложението на Peloton и е дало шанс на конкурентите да го изпреварят на пазара.

Три мита за сигурността от страна на клиента

За съжаление, индустрията е засегната от погрешни схващания, които пречат на цялостната сигурност на мобилните приложения. Ето трите, които срещаме най-често.

1. Всички чувствителни данни са защитени

Мит: Всички чувствителни данни остават от страна на сървъра, така че съм сигурен, че са криптирани и защитени. Тъй като не съхранявам никакви чувствителни данни на мобилното устройство на потребителя, не се нуждая от допълнителна защита.

Контрапункт: Често е вярно, че на устройството на потребителя на приложението се съхраняват много малко чувствителни данни, но това не означава, че те са защитени. Ако приложението е стартирано, процесите, кодът и комуникациите със сървъра са изложени на риск.

Без допълнителни защити нападателят може да получи информация за:

  • Как приложението комуникира със сървъра
  • Къде извършва криптиране
  • Как обработва оторизацията
  • Къде улавя чувствителна информация

2. Заплахите, основани на потребителите, са извън моя контрол

Мит: Нямам контрол върху устройството на потребителя на приложението или върху начина, по който го използва, така че все пак не мога да направя нищо, за да предотвратя зловреден софтуер или фишинг атаки.

Контрапункт: Може и да не можете да се предпазите от атаки със злонамерен софтуер, но можете да защитите приложението си от други заплахи. Когато части от кода и низове са оставени незакрити или в кода са оставени коментари като метаданни, те служат като отправни точки за обратно инженерство и закачане. Те могат да бъдат използвани за получаване на информация за „тайните“, скрити в кода, и да позволят неоторизирано разкриване, кражба на интелектуална собственост, увреждане на марката или нещо друго.

3. Операционната система ще ме защити

Мит: Свършил съм своята част от работата, като съм поддържал всички компоненти, използвани в моето мобилно приложение, в актуално състояние, така че мога да разчитам на сигурността на операционната система (ОС).

Контрапункт: Основната грижа на операционната система не е сигурността на което и да е мобилно приложение, а по-скоро сигурността на самото устройство. Например проучване на Symantec откри 1822 приложения за iOS с открити токени за достъп до AWS, позволяващи достъп до частни облачни услуги на AWS. Защитите на iOS не направиха нищо, за да отбележат тази уязвимост или да я защитят. Винаги приемайте, че дадено приложение работи във враждебна среда, и се подготвяйте по съответния начин.

Как да подобрите сигурността от страна на клиента

До момента на пускане на мобилното ви приложение компанията ви е прекарала безброй часове в разработване на вълнуващи нови функции, които да зарадват целевия ви пазар. За да защитите тази инвестиция, трябва да приложите цялостна стратегия за сигурност на мобилните приложения.

 

Използвайте тези препоръки, за да започнете.

  • Използвайте стандарти и рамки за сигурност, като OWASP Mobile Application Security Verification Standard (MASVS) и Mobile Application Security Testing Guide (MASTG), за да направлявате стратегията си за сигурност на мобилните приложения.
  • Интегрирайте сигурността във всеки етап от жизнения цикъл на DevSecOps, вместо да я превръщате в последна стъпка непосредствено преди пускането на пазара.
  • Внедрете мощни механизми за защита на ниво приложение, които включват укрепване на кода и проверки за самозащита на приложенията по време на работа (Runtime Application Self Protection – RASP). Не всички решения са еднакви, затова е важно да се уверите, че решенията за защита, които оценявате, осигуряват необходимото ниво на сигурност.
  • Дайте приоритет на тестването на сигурността, за да уловите често срещаните уязвимости на по-ранен етап от процеса на разработка. В идеалния случай изберете решение за тестване, предназначено за мобилни приложения и базирано на OWASP и други индустриални стандарти.
  • Използвайте текущо наблюдение на заплахите, за да идентифицирате подозрителна дейност, измама или мошеничество, и непрекъснато усъвършенствайте стратегията си за сигурност.

Следващи стъпки

Специалистите по сигурността трябва да набележат сигурността на мобилните приложения от страна на клиента или да рискуват злонамерени участници да анализират, подправят и обратното инженерство на кода на тяхното приложение.

Цялостната стратегия за сигурност на мобилните приложения – включваща процеси и инструменти за защита, тестване и мониторинг – е единственото нещо, което може да застане между вашето приложение и участниците в заплахите, които се опитват да инспектират кода му.

Източник: DARKReading

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Нов проект на Google има за...

Днес Google обяви старта на Глобалния...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!