|
Рубрика:
Безопасность /
Мобильные приложения
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
В эпоху тотальной цифровизации мобильные приложения стали неотъемлемой частью бизнес-процессов в критически важных секторах экономики, таких как финансы, здравоохранение, образование и корпоративные сервисы. С увеличением числа пользователей возрастает и количество угроз, связанных с безопасностью мобильного ПО.
Эксперты Стингрей проанализировали мобильные приложения российских разработчиков на наличие уязвимостей. Все программы были установлены из открытых источников.
- 1675 приложений Android
- 18 категорий приложений
- 57 просканированных типов уязвимостей
Аналитики распределили программные продукты по категориям исходя из их назначения.
Инструменты и методы анализа
Исследование проводилось методом «черного ящика»: эксперты не имели доступа к исходному коду. Аналитики оценивали каждую обнаруженную уязвимость и изучали возможные векторы атак. Безопасность приложений проверялась с помощью Стингрей – платформы автоматизированного анализа защищенности мобильных приложений.
При исследовании был использован адаптивный механизм выставления критичности: она могла быть повышена или понижена у каждого из типа уязвимостей из-за сопутствующих факторов. Например, хранение секрета в исходном коде MO умолчанию имеет уровень критичности «средний». Однако, если при последующей проверке выявляется, что секрет валидный, критичность повышается до «Высокий» или «Критический». Аналогичная адаптация применима и к другим типам дефектов.
Эксперты оценивали каждую обнаруженную уязвимость и исследовали возможные векторы атак:
- Сетевое взаимодействие
- Конфигурация приложения
- Хранение ключей и сертификатов
- Хранение чувствительной информации
- Использование небезопасной криптографиии
- Уязвимости межпроцессного взаимодействия
- Проверка окружения
- Некорректное использование сторонних сервисов Недостатки валидации и санитизации
Ключевые тенденции 2024 года
В эпоху тотальной цифровизации мобильные приложения стали неотъемлемой частью бизнес-процессов в критически важных секторах экономики, таких как финансы, здравоохранение, образование и корпоративные сервисы. Однако одновременно с растущей ролью мобильных технологий значительно обострились и угрозы информационной безопасности, направленные на них. В 2024 году продолжился стремительный рост атак на мобильные приложения, особенно в критически важных сферах, таких как финансы, образование и бизнес- сервисы. Приложения на платформе iOS также перестали считаться безопасными по умолчанию: количество атак на них увеличилось с 17% до 25%.
Особенно ярко эта тенденция проявляется в сфере финансовых сервисов, где уязвимости мобильных приложений значительно повышают риски утечки конфиденциальной и персональной информации пользователей.
Обеспечение мобильной безопасности становится критически важным условием для сохранения финансовой стабильности компаний и удержания доверия пользователей к цифровым сервисам.
Мобильные приложения всё чаще становятся уязвимой точкой цифрового бизнеса – риски непрерывно растут вместе с усложнением функционала и расширением интеграций со сторонними сервисами. Для их снижения необходим регулярный аудит приложений с фокусом на выявление критических уязвимостей и проверку логики взаимодействия со сторонними платформами. Ключевыми мерами защиты остаются удаление «хардкода» ключей и паролей, реализация гибких схем рстации и ревокации TOKEHOB, а также защита окружения от рутирования и эмуляции с использованием технологий RASP (Runtime Application Self-Protection), способных отслеживать подозрительные действия вроде вмешательства через специализированное ПО или попыток модификации приложения.
Основной тенденцией в защите мобильных приложений стало осознание необходимости более комплексной стратегии мобильной безопасности, которая включает в себя единый риск-ориентированный подход, учитывающий реальные сценарии атак, а не только технические аспекты.
Это означает переход от формального сканирования к динамическому анализу, применению систем обнаружения аномалий в момент исполнения и учету контекстных факторов, таких как важность данных и географические ограничения. Поскольку количество мобильных атак продолжает расти, а методы взлома становятся всё более изощренными, компании, пренебрегающие принципами безопасной разработки и защитой мобильных сервисов, могут столкнуться с прямыми финансовыми потерями и огромными репутационными рисками. Именно поэтому укрепление безопасности приложений – от создания кода до мониторинга среды исполнения – остается главным условием успешной цифровой трансформации в 2024-м и последующих годах.
<...>
Ключевые слова: уязвимости, безопасность мобильных приложений
Полную версию статьи читайте в журнале
Подпишитесь на журнал
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Уязвимости в российских мобильных приложениях 2024
