Мобильные приложения под прицелом хакеров

19.03.2012

Сегодня использование мобильных телефонов для доступа в различные системы стало повсеместным. Если ранее, когда возникали вопросы о безопасности используемых приложений, можно было обратиться к отчетам компаний по угрозам, количеству уязвимостей и атак на конкретные приложения, то сейчас пользователи не могут определить, насколько они защищены, подключаясь к своему интернет-банку, корпоративной системе документооборота или любому другому приложению.

И сложность обеспечения безопасности возрастает в том числе из-за использования различных платформ мобильных телефонов и их версий (Google Android, Apple iOS (iPhone/iPad), Java (J2ME/Java ME), Windows Mobile).

Конечно, наиболее критичными являются приложения, которые позволяют проводить финансовые операции, управлять денежными потоками.

Американская компания Viaforensics, которая занимается вопросами безопасности, провела независимое исследование мобильных приложений, связанных с финансами и предназначенных для обычных пользователей, а также корпоративных клиентов. Было протестировано около 30 программ для портативных устройств. Результаты оказались следующими: 25% из этих 30 нельзя назвать безопасными в плане защиты от несанкционированного доступа к финансовой информации. Эти 25% программ не смогли пройти испытания. Получается, что в среднем одна четверть таких приложений является небезопасной. Что же смогли установить исследователи? Некоторые приложения после определенных манипуляций позволяли восстановить историю платежей и другие аспекты финансовых сделок. В некоторых случаях были получены номера кредитных карт или их части. Более того, некоторые приложения хранили в своей кэш-памяти PIN-коды кредитных карт пользователя, а также его логины и пароли к различным финансовым системам.

В России использование мобильных приложений только набирает обороты. Активно обсуждаются вопросы защиты мобильных систем на конференциях, на форумах и блогах. И тем не менее, практически каждый банк уже предлагает воспользоваться подобной услугой, не говоря уже об интернет-магазинах и системах электронных кошельков, которые доступны через стандартный браузер и не требуют дополнительной аутентификации.

Эксперты компании Digital Security, которые специализируются на поиске и анализе уязвимостей в различных бизнес-приложениях и системах, подчеркивают, что для мобильных систем актуальны те же самые атаки через такие уязвимости, как хранение секретных данных в открытом виде, передача информации по небезопасным каналам, возможность внедрения SQL-операторов и использования уязвимостей межсайтового скриптинга (XSS), отсутствие проверок входящих данных, некорректные права доступа, слабая криптография. И именно поэтому важно уже сейчас обратить внимание на безопасность использования мобильных приложений и увеличение ее уровня для обеспечения достаточной защиты данных пользователей.

Услуга Digital Security – аудит безопасности мобильных приложений – позволяет выявить найденные недостатки в процессе анализа, а также получить рекомендации по их устранению и улучшению безопасности приложения.