Търсене
Close this search box.

3 потребителски мита

Когато става въпрос за уязвимости на мобилни приложения, специалистите по сигурността често мислят за атаки от типа „нулев ден“ или за опити за достъп до чувствителни данни. Това са съвсем реални заплахи, но трябва да се вземат предвид и по-нюансирани атаки, като обратното инженерство и закачането. Тези атаки се възползват от твърде тясното разбиране на индустрията за мобилна или клиентска сигурност, което често се простира до инфраструктурата на устройствата и не повече.

Instagram разбра това по трудния начин през 2022 г., когато Алесандро Палуци, разработчик, известен с обратното инженерство на мобилни приложения, забеляза неиздадена функция, подобна на популярното приложение BeReal. Идентифицирайки функцията в кода на мобилното приложение, Палуци не беше възпрепятстван от никакви защити на ниво устройство.

Мобилните приложения представляват уникално предизвикателство за сигурността, тъй като много от техните процеси и код се изпълняват на устройството на потребителя, което ги прави по-податливи на анализ и подправяне. Специалистите по сигурността трябва да разширят разбирането си за сигурността от страна на клиента, за да защитят мобилните приложения от съвременните сложни заплахи.

 

Въздействие на компрометирано мобилно приложение

Има много начини, по които компрометирано мобилно приложение може да окаже отрицателно въздействие върху бизнеса, включително:

  • Открадната интелектуална собственост и загубено конкурентно предимство
  • Увреждане на марката и доверието на потребителите
  • Загуба на приходи поради модифицирани версии на приложението, качени в магазини на трети страни
  • Глоби за регулаторни нарушения

Разгледайте изтичането на тренажора за гребане Peloton. През 2021 г. 9to5Google потвърди наличието на непроизведена  машина Peloton въз основа на подробности, открити в нейното приложение за Android. Това изтичане на информация вероятно е подкопало планираните маркетингови усилия, поставило е под въпрос сигурността на приложението на Peloton и е дало шанс на конкурентите да го изпреварят на пазара.

Три мита за сигурността от страна на клиента

За съжаление, индустрията е засегната от погрешни схващания, които пречат на цялостната сигурност на мобилните приложения. Ето трите, които срещаме най-често.

1. Всички чувствителни данни са защитени

Мит: Всички чувствителни данни остават от страна на сървъра, така че съм сигурен, че са криптирани и защитени. Тъй като не съхранявам никакви чувствителни данни на мобилното устройство на потребителя, не се нуждая от допълнителна защита.

Контрапункт: Често е вярно, че на устройството на потребителя на приложението се съхраняват много малко чувствителни данни, но това не означава, че те са защитени. Ако приложението е стартирано, процесите, кодът и комуникациите със сървъра са изложени на риск.

Без допълнителни защити нападателят може да получи информация за:

  • Как приложението комуникира със сървъра
  • Къде извършва криптиране
  • Как обработва оторизацията
  • Къде улавя чувствителна информация

2. Заплахите, основани на потребителите, са извън моя контрол

Мит: Нямам контрол върху устройството на потребителя на приложението или върху начина, по който го използва, така че все пак не мога да направя нищо, за да предотвратя зловреден софтуер или фишинг атаки.

Контрапункт: Може и да не можете да се предпазите от атаки със злонамерен софтуер, но можете да защитите приложението си от други заплахи. Когато части от кода и низове са оставени незакрити или в кода са оставени коментари като метаданни, те служат като отправни точки за обратно инженерство и закачане. Те могат да бъдат използвани за получаване на информация за „тайните“, скрити в кода, и да позволят неоторизирано разкриване, кражба на интелектуална собственост, увреждане на марката или нещо друго.

3. Операционната система ще ме защити

Мит: Свършил съм своята част от работата, като съм поддържал всички компоненти, използвани в моето мобилно приложение, в актуално състояние, така че мога да разчитам на сигурността на операционната система (ОС).

Контрапункт: Основната грижа на операционната система не е сигурността на което и да е мобилно приложение, а по-скоро сигурността на самото устройство. Например проучване на Symantec откри 1822 приложения за iOS с открити токени за достъп до AWS, позволяващи достъп до частни облачни услуги на AWS. Защитите на iOS не направиха нищо, за да отбележат тази уязвимост или да я защитят. Винаги приемайте, че дадено приложение работи във враждебна среда, и се подготвяйте по съответния начин.

Как да подобрите сигурността от страна на клиента

До момента на пускане на мобилното ви приложение компанията ви е прекарала безброй часове в разработване на вълнуващи нови функции, които да зарадват целевия ви пазар. За да защитите тази инвестиция, трябва да приложите цялостна стратегия за сигурност на мобилните приложения.

 

Използвайте тези препоръки, за да започнете.

  • Използвайте стандарти и рамки за сигурност, като OWASP Mobile Application Security Verification Standard (MASVS) и Mobile Application Security Testing Guide (MASTG), за да направлявате стратегията си за сигурност на мобилните приложения.
  • Интегрирайте сигурността във всеки етап от жизнения цикъл на DevSecOps, вместо да я превръщате в последна стъпка непосредствено преди пускането на пазара.
  • Внедрете мощни механизми за защита на ниво приложение, които включват укрепване на кода и проверки за самозащита на приложенията по време на работа (Runtime Application Self Protection – RASP). Не всички решения са еднакви, затова е важно да се уверите, че решенията за защита, които оценявате, осигуряват необходимото ниво на сигурност.
  • Дайте приоритет на тестването на сигурността, за да уловите често срещаните уязвимости на по-ранен етап от процеса на разработка. В идеалния случай изберете решение за тестване, предназначено за мобилни приложения и базирано на OWASP и други индустриални стандарти.
  • Използвайте текущо наблюдение на заплахите, за да идентифицирате подозрителна дейност, измама или мошеничество, и непрекъснато усъвършенствайте стратегията си за сигурност.

Следващи стъпки

Специалистите по сигурността трябва да набележат сигурността на мобилните приложения от страна на клиента или да рискуват злонамерени участници да анализират, подправят и обратното инженерство на кода на тяхното приложение.

Цялостната стратегия за сигурност на мобилните приложения – включваща процеси и инструменти за защита, тестване и мониторинг – е единственото нещо, което може да застане между вашето приложение и участниците в заплахите, които се опитват да инспектират кода му.

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
12/04/2024

Oracle увеличава усилията с...

Техническият директор и председател на Oracle...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!