Мы ведем поиск по разделам и новостям, если вы не нашли ответ на свой вопрос, пожалуйста, воспользуйтесь формой
«связаться с экспертом»
Мобильные приложения
Большинство привычных действий мы совершаем с помощью мобильных приложений. Мобильные устройства и приложения хранят огромное количество данных, поэтому их безопасности следует уделять не меньше внимания, чем продвинутым возможностям и удобному интерфейсу.
Уязвимости мобильных приложений могут привести к краже персональных, платежных и учетных данных (в том числе и от сторонних сервисов). Они также могут позволить злоумышленникам получить доступ к мобильному устройству и использовать его в своих целях (спам, ботнеты и др.). А через корпоративные мобильные приложения возможно развить атаку на смежные компоненты инфраструктуры.
Анализ защищенности мобильных приложений выявит угрозы информационной безопасности, поможет предотвратить утечки данных и нелегитимные действия.
Как будем действовать
Безопасность мобильного приложения складывается из защищенности трех компонентов: клиентской части, серверной части и канала связи. Мы проводим анализ защищенности всех этих компонентов.
Эксперты Digital Security проводят анализ по методике OWASP Mobile и выявляют все возможные недостатки безопасности. Например, мы проверяем механизмы хранения и обработки данных, безопасность канала передачи данных, процессы, связанные с аутентификацией и разграничением прав доступа. Проводим анализ безопасности сторонних компонентов (например, сервисов аналитики) и данных, передаваемых им. В рамках аудита также проверяется возможность внедрения кода на стороне приложения и другие потенциальные действия злоумышленника.
мобильного приложения
данных
приложения/серверной
части (опционально)
Безопасность приложений для iOS, Android и других платформ имеет свои особенности, поэтому мы
применяем специализированные подходы в зависимости от ОС. Тестирование мобильных приложений
Digital Security поможет обнаружить и устранить недостатки безопасности
Мы ответили на популярные вопросы, которые нам задают об услуге
«Мобильные приложения».
Возможно, эта информация будет вам полезна.
Потребуется ли особая сборка приложения или можно использовать ту, что доступна в App Store/Google Play?
Это зависит от поставленных целей. Провести детальный анализ значительно быстрее с помощью «тестовой» сборки приложения со снятыми защитными механизмами. Однако если задача – посмотреть, как злоумышленник справится с обходом самозащиты приложения и прочими механизмами безопасности, лучше использовать обычную версию, распространяемую в официальных сторах приложений.
Наше приложение доступно на iOS и Android и имеет одинаковую функциональность для обеих платформ. Обязательно ли проводить анализ двух приложений или можно сэкономить?
В современной разработке действительно бывает, что приложения имеют максимально идентичную функциональность на обеих платформах. На наш взгляд, Android предоставляет разработчикам значительно большую свободу, однако риск ошибки также возрастает. Поэтому, если вам придется выбирать из двух платформ, советуем провести анализ Android-приложения.
Мы хотим провести анализ защищенности только мобильного приложения, без серверного API.
Это возможно?
Да, это возможно, но пользы от такого анализа значительно меньше. Несмотря на то, что по методологии OWASP Mobile ряд уязвимостей действительно относятся непосредственно к мобильному приложению, полноценно оценить безопасность без взаимодействия с серверным API практически невозможно.
Хотим проверить безопасность приложения, но есть риск, что к началу аудита оно будет готово не до конца, например, вместо ряда кнопок – «заглушки».
Это помешает?
Не помешает, мы можем провести аудит приложения в текущем состоянии. Но стоит понимать, что покрытие не будет не полным. Если вы задумываетесь о безопасности приложения на стадии разработки, вам будут полезны услуги Secure SDLС и DevSecOps .
System Management Mode (SMM) – особый, привилегированный режим процессора архитектуры x86, который доступен во время работы операционной системы, но совершенно невидим для нее. Он предназначен для низкоуровневого взаимодействия с железом, управления питанием, эмуляции легаси устройств, перехода в режим сна (S3), обращения к TPM и прочего.
Digital Security и «Балтика» завершили комплексный проект по регулярному аудиту защищенности трех ключевых информационных систем компании. Поиск и устранение найденных уязвимостей позволили сохранить высокий уровень информационной безопасности на «Балтике». Информационные системы LotusNotes, Citrix и VMware подверглись углубленному техническому анализу безопасности, в результате чего в программном обеспечении вендеров были выявлены уязвимости, включая неизвестные на момент аудита (0-day уязвимости). Объективная […]
Заполните форму, и мы ответим на все ваши вопросы
