доверять Apple и Google в вопросах безопасности мобильных приложений — самоубийство для карьеры – Tehnografi.com

Готовы к новостям в области мобильной безопасности, о которых ИТ-специалисты не хотят слышать, но должны? Когда фирма Positive Technologies, занимающаяся безопасностью, начала проводить пентестирование различных мобильных приложений, дыр в системе безопасности было огромное количество.

Мы сейчас углубимся в детали, но вот итог: «Уязвимости с высокой степенью риска были обнаружены в 38 процентах мобильных приложений для iOS и в 43 процентах приложений для Android», и «большинство случаев вызваны недостатками в механизмах безопасности — 74». процентов и 57 процентов для приложений iOS и Android соответственно и 42 процента для серверных компонентов — поскольку такие уязвимости закрадываются на этапе проектирования, их исправление требует значительных изменений в коде».

Вот самая пугающая строка, и она пугает, потому что это означает, что не существует простого исправления корпоративных ИТ: «Риски не обязательно возникают из-за какой-то одной конкретной уязвимости на стороне клиента или сервера. Во многих случаях они являются продуктом нескольких, казалось бы, небольших недостатков. в различных частях мобильного приложения. В совокупности эти упущения могут привести к серьезным последствиям».

Как я уже говорил, корпоративные ИТ-специалисты — и, конечно же, корпоративные директора по информационной безопасности и директорам по безопасности — просто больше не могут доверять приложениям из Apple App Store или Android из Google Play. Это большой кошмар, так как именно туда сотрудники загружают приложения, будь то личные (BYOD) или корпоративные.

Дыры в безопасности могут быть преднамеренными вредоносными программами, непреднамеренными вредоносными программами (независимый разработчик использует существующий код для общей функции, не подозревая, что он содержит вредоносные программы), непреднамеренными дырами в безопасности или даже идеальным кодом, который сам по себе чист, но случайно создает проблемы при взаимодействии. с остальной мобильной средой. Это «взятая вместе» дыра, на которую ссылался Позитив.

Это означает, что предприятия должны нанимать и развертывать свои собственные группы тестирования на проникновение — штатные или нанятые по контракту — для тестирования каждого приложения, которое они собираются разрешить на корпоративном устройстве, даже на устройстве BYOD. Так что да, это вполне может означать также тестирование каждого пользовательского приложения, которое хочет загрузить какой-либо сотрудник. (Разве это не сделает вас ультрапопулярным?!)

Это становится хуже. Чтобы попытаться создать и поддерживать безопасную среду для вашего предприятия, вы не можете просто протестировать все эти приложения один раз. Каждый раз, когда они предлагают обновление, это приложение должно быть проверено заново, учитывая, что вы действительно не знаете, что меняет это обновление.

Некоторые ИТ-директора хотят исключить из этого списка своих основных поставщиков на том сомнительном основании, что они никогда не будут выпускать небезопасный код. Во-первых, наверняка будут. Чем крупнее поставщик, тем больше он становится мишенью для самых хитрых киберворов и кибертеррористов. Если вы не хотите ставить безопасность своей компании на смехотворную предпосылку о том, что системы вашего поставщика совершенны, вы просто не можете им доверять. (В лучшем случае доверяйте, но проверяйте, но даже принцип «доверяйте, но проверяйте» изначально раскрывает ваши системы.)

Было бы намного эффективнее и безопаснее, если бы Apple и Google вложили многомиллиардные инвестиции в безопасность и протестировали все свои собственные приложения, прежде чем публиковать их для загрузки? Конечно, будет, но пока на этом настаивают предприятия — и акционеры их поддержат — этого не будет. О, и Apple, и Google потратят много денег на защиту своих интересов — авторских прав и других вопросов политики — но на защиту предприятий? Не задерживайте свое тормозное дыхание.

«Вы не можете предсказать, унаследуете ли вы уязвимости или нет», — сказал в интервью Николай Анисеня, руководитель группы мобильного пентеста в Positive Technologies. «Если вы хотите снизить риск нападения на своих сотрудников, лучше обучить их безопасности мобильных приложений».

Проблема с обучением сотрудников безопасности приложений заключается в том, что сотрудники предполагают, что корпоративное приложение, утвержденное корпорацией (например, одобренный компанией брандмауэр), прошло корпоративное тестирование. И такое приложение, как брандмауэр, — это именно то приложение, которым будет манипулировать хороший кибервор. Если сотрудник замечает, что одобренный компанией брандмауэр становится агрессивным, этот сотрудник, как правило, предполагает, что это одобренное вмешательство.

Насколько плохи были положительные результаты? Достаточно плохо. Некоторые из наименее любимых фаворитов:

«Небезопасное межпроцессное взаимодействие (IPC) — это распространенная критическая уязвимость, позволяющая злоумышленнику получить удаленный доступ к данным, обрабатываемым в уязвимом мобильном приложении. Android предоставляет объекты сообщений Intent как способ взаимодействия компонентов приложения друг с другом. конфиденциальные данные в них могут быть скомпрометированы вредоносным ПО, зарегистрировавшим экземпляр BroadcastReceiver.

Межпроцессное взаимодействие обычно запрещено для приложений iOS. Однако бывают случаи, когда это необходимо. В iOS 8 Apple представила расширения приложений. С их помощью приложения могут делиться своими функциями с другими приложениями на том же устройстве. Например, приложения для социальных сетей могут обеспечить быстрый обмен контентом в браузере».

«Глубинное связывание — это обычный способ для разработчиков реализовать связь между расширением приложения и содержащим его приложением. В этом случае приложение вызывается по определенной схеме URL-адресов, зарегистрированной в системе. Во время установки содержащее приложение регистрируется как обработчик. для схем, перечисленных в Info.plist. Такие схемы не привязаны к приложению. Поэтому, если на устройстве установлено вредоносное приложение, которое также обрабатывает ту же схему URL, невозможно сказать, какое приложение победит. Это открывает возможности для злоумышленников организовывать фишинговые атаки и красть учетные данные пользователей».

«Одна треть уязвимостей в мобильных приложениях Android связана с недостатками конфигурации. Например, наши эксперты при анализе AndroidManifest.xml часто обнаруживают, что для атрибута android:allowBackup установлено значение «true». Это позволяет создавать резервную копию данных приложения при подключении устройства к компьютеру. Злоумышленник может использовать эту уязвимость для получения данных приложения даже на нерутированном устройстве».

«Мобильные устройства хранят данные, такие как геолокация, личные данные, переписка, учетные данные и финансовые данные, но безопасное хранение этих данных мобильными приложениями часто упускается из виду. Эта уязвимость была обнаружена в 76 процентах мобильных приложений».

«Если два одинаковых запроса отправляются на сервер один за другим, с минимальным интервалом между ними, одноразовые пароли отправляются на устройство пользователя как в виде push-уведомлений, так и в виде SMS на привязанный номер телефона. Злоумышленник может перехватить SMS-сообщения и выдавать себя за законного пользователя, например, очищая банковский счет пользователя».

«Когда поддержка запросов TRACE сочетается с уязвимостью межсайтового скриптинга (XSS), злоумышленник может украсть файлы cookie и получить доступ к приложению. Поскольку серверный компонент мобильного приложения, как правило, использует тот же код, что и веб-сайт. , Межсайтовый скриптинг позволяет атаковать пользователей веб-приложения».