Анализ защищенности мобильных приложений

Использование мобильных телефонов стало повсеместным и повседневным. Благодаря их возросшей производительности программное обеспечение, которое раньше было доступно только на компьютере, сейчас доступно и на телефоне. 

С ростом популярности мобильных приложений у пользователей растет их популярность и у злоумышленников. Приложения на каждой платформе имеют как свою специфику написания, так и свои специфичные угрозы, реализация которых может привести как к краже личных данных, в том числе банковских, так и к проникновению в корпоративную сеть.

Digital Security проводит аудит безопасности клиентской части приложений на следующих мобильных платформах:

  • Google Android
  • Apple iOS (iPhone/iPad)
  • Java (J2ME/Java ME)
  • Windows Phone

Типовые угрозы для мобильных приложений включают в себя:

  • Секретные данные в открытом виде;
  • Небезопасные каналы передачи информации;
  • Наличие отладочного кода;
  • Внедрение SQL-операторов;
  • Межсайтовый скриптинг (XSS);
  • Отсутствие проверок входящих данных;
  • Неправильная расстановка прав доступа;
  • Слабая криптография.

Методика аудита и содержание работ

Методика аудита безопасности клиентской части мобильного приложения, разработанная исследовательским центром Digital Security, основана на опыте анализа защищенности различных по функциональности и сложности приложений, таких как ERP-системы, автоматизированные банковские системы, банк-клиенты, веб-приложения, системы управления базами данных и др. Подход к анализу основан на общепризнанных методах исследования приложений, описанных в таких документах, как PCI DSS Requirements and Security Assessment Procedures, OWASP Testing Guide, PA-DSS Requirement and Security Assessment Procedures, и доработан с учетом практического исследовательского опыта DSecRG.

Этапы работы

Процесс анализа приложения состоит из нескольких базовых этапов:

  • Анализ архитектуры клиентской части приложения;
  • Составление модели угроз;
  • Аудит безопасности кода;
  • Стресс-тестирование (fuzzing);
  • Реализация угроз в соответствии с логикой приложения.

Данные этапы могут видоизменяться в зависимости от типа тестирования (белым или черным ящиком).

Результат работы

В результате работы будет предоставлен детальный отчет, включающий:

  • Найденные недостатки в процессе анализа;
  • Рекомендации по устранению найденных недостатков;
  • Рекомендации по улучшению безопасности приложения.

Статьи по теме:

Презентации с конференций:

Оставить заявку

Оставить заявку