Когато става въпрос за уязвимости на мобилни приложения, специалистите по сигурността често мислят за атаки от типа „нулев ден“ или за опити за достъп до чувствителни данни. Това са съвсем реални заплахи, но трябва да се вземат предвид и по-нюансирани атаки, като обратното инженерство и закачането. Тези атаки се възползват от твърде тясното разбиране на индустрията за мобилна или клиентска сигурност, което често се простира до инфраструктурата на устройствата и не повече.
Instagram разбра това по трудния начин през 2022 г., когато Алесандро Палуци, разработчик, известен с обратното инженерство на мобилни приложения, забеляза неиздадена функция, подобна на популярното приложение BeReal. Идентифицирайки функцията в кода на мобилното приложение, Палуци не беше възпрепятстван от никакви защити на ниво устройство.
Мобилните приложения представляват уникално предизвикателство за сигурността, тъй като много от техните процеси и код се изпълняват на устройството на потребителя, което ги прави по-податливи на анализ и подправяне. Специалистите по сигурността трябва да разширят разбирането си за сигурността от страна на клиента, за да защитят мобилните приложения от съвременните сложни заплахи.
Има много начини, по които компрометирано мобилно приложение може да окаже отрицателно въздействие върху бизнеса, включително:
Разгледайте изтичането на тренажора за гребане Peloton. През 2021 г. 9to5Google потвърди наличието на непроизведена машина Peloton въз основа на подробности, открити в нейното приложение за Android. Това изтичане на информация вероятно е подкопало планираните маркетингови усилия, поставило е под въпрос сигурността на приложението на Peloton и е дало шанс на конкурентите да го изпреварят на пазара.
За съжаление, индустрията е засегната от погрешни схващания, които пречат на цялостната сигурност на мобилните приложения. Ето трите, които срещаме най-често.
Мит: Всички чувствителни данни остават от страна на сървъра, така че съм сигурен, че са криптирани и защитени. Тъй като не съхранявам никакви чувствителни данни на мобилното устройство на потребителя, не се нуждая от допълнителна защита.
Контрапункт: Често е вярно, че на устройството на потребителя на приложението се съхраняват много малко чувствителни данни, но това не означава, че те са защитени. Ако приложението е стартирано, процесите, кодът и комуникациите със сървъра са изложени на риск.
Без допълнителни защити нападателят може да получи информация за:
Мит: Нямам контрол върху устройството на потребителя на приложението или върху начина, по който го използва, така че все пак не мога да направя нищо, за да предотвратя зловреден софтуер или фишинг атаки.
Контрапункт: Може и да не можете да се предпазите от атаки със злонамерен софтуер, но можете да защитите приложението си от други заплахи. Когато части от кода и низове са оставени незакрити или в кода са оставени коментари като метаданни, те служат като отправни точки за обратно инженерство и закачане. Те могат да бъдат използвани за получаване на информация за „тайните“, скрити в кода, и да позволят неоторизирано разкриване, кражба на интелектуална собственост, увреждане на марката или нещо друго.
Мит: Свършил съм своята част от работата, като съм поддържал всички компоненти, използвани в моето мобилно приложение, в актуално състояние, така че мога да разчитам на сигурността на операционната система (ОС).
Контрапункт: Основната грижа на операционната система не е сигурността на което и да е мобилно приложение, а по-скоро сигурността на самото устройство. Например проучване на Symantec откри 1822 приложения за iOS с открити токени за достъп до AWS, позволяващи достъп до частни облачни услуги на AWS. Защитите на iOS не направиха нищо, за да отбележат тази уязвимост или да я защитят. Винаги приемайте, че дадено приложение работи във враждебна среда, и се подготвяйте по съответния начин.
До момента на пускане на мобилното ви приложение компанията ви е прекарала безброй часове в разработване на вълнуващи нови функции, които да зарадват целевия ви пазар. За да защитите тази инвестиция, трябва да приложите цялостна стратегия за сигурност на мобилните приложения.
Специалистите по сигурността трябва да набележат сигурността на мобилните приложения от страна на клиента или да рискуват злонамерени участници да анализират, подправят и обратното инженерство на кода на тяхното приложение.
Цялостната стратегия за сигурност на мобилните приложения – включваща процеси и инструменти за защита, тестване и мониторинг – е единственото нещо, което може да застане между вашето приложение и участниците в заплахите, които се опитват да инспектират кода му.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.