Настоящие реалии требуют от
бизнес-процессов быстрого доступа к информации, причем это должно
осуществляться с разных устройств и совершенно в различной геолокации. Но чем
мы рискуем? Есть ли уязвимость и чем необходимо вооружиться?
Безусловно, в первую очередь мы
говорим о приложениях, где вопрос безопасности является первостепенным, к
примеру: мобильный банкинг, корпоративные приложения с внутренними данными
компании, иные приложения с персональными данными.
Приведем в пример банковские мобильные
приложения, которые проверяются каждый год на вопрос безопасности и стойкости
хакерским атакам. Самая популярная платформа в России, исходя из исследований
начала 2018 года, является Android
(iOS весьма
быстро нагоняет, но Android пока удерживает ветку первенства).
Однако, Android, исходя из исследований, более
подвержен взломам и утечкам информации. Почти во всех банковских приложениях
были выявлены проблемы, которыми могут воспользоваться мошенники.
1. Часто наименее защищенные мобильные
приложения взламываются благодаря общественным сетям. Когда пользователь
подключился к общественной сети Wi-Fi, а злоумышленник перехватывает трафик и
использует его в своих целях.
Что делать и как проверять перед
релизом вашего приложения, чтобы клиенты не ополчились на вашу компанию и не
стали жертвами? Чаще всего мошенник крадет данные банковских карт, когда
приложение не проверяет подлинность сайта самого банка. Необходимо проверить,
чтобы разработчики не использовали стандартные библиотеки, в которых по
умолчанию не контролируется подлинность сертификата сервера. Данный вариант
случается с приложениями, в которых теме безопасности посвящено самое
минимальное внимание.
2. Также приложения часто подвержены
«заражениям троянов» – происходит простой перехват данных. Злоумышленник может «взять» все, что представляет для него
интерес. Часто хакеры идут еще дальше и разрабатывают специальный код-вирус,
написанный под конкретное мобильное банковское приложение. Такого рода атаки
случаются с приложениями, которые имеют защиту, но недостаточную. То есть они
не подвержены самому низкому-простому уровню атак (как описано в первом примере),
но «сдаются» под средним вариантом.
3. Самые защищенные приложения, которые справляется с первым и вторым вариантом атак, могут быть уязвимы из-за разработчиков, которые оставили лазейки для дальнейшего входа в систему. То есть сейчас речь идет о внутренних атаках или, так называемыми, «программистские бомбы», выполняющие зловредный код по наступлении заложенного в программу времени. Но для мобильных банковских приложений такие уязвимости не типичны, они скорее актуальны для серверной части программного обеспечения.
НЕКОТОРЫЕ ВЫВОДЫ
Подводим итоги: не стоит полностью полагаться на
разработчиков мобильных банковских приложений. Исследования гласят, что только
около 6% приложений имеют надежную защиту, оставшиеся же подвержены каким-либо
атакам (выше мы изложили три варианта по иерархии сложности взломов).
Что посоветовать заказчикам мобильных приложений? –
всегда все контролируйте и проверяйте. Не отдавайте работу на самотек, всегда
оставайтесь в курсе всех этапов разработки. Закажите у сторонней организации
проверку на уязвимость, дополнительное тестирование и т.д. Человеческий фактор
всегда был и будет, где-то это оплошность и невнимательность, а где-то злой
умысел.
Также стоит обратить внимание на ограничение бюджета у
заказчиков. Часто сам клиент пренебрегает выполнением условий безопасности,
чтобы удешевить будущий продукт – свое мобильное приложение. Из бесплатного
совета: безопасность вашего приложения – это не тот пункт, на котором стоит
экономить.
Если у вас есть дополнительные вопросы или вы хотите
уточнить как мы обеспечиваем безопасность наших разработанных приложений, то
пишите нам на электронный адрес: feedback@zennex.ru Мы всегда рады заинтересованности с вашей стороны!
РЕЗЮМИРУЕМ: