Журнал "Information Security/ Информационная безопасность" #3, 2022

• 57 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru Непрерывный анализ уязвимостей мобильных приложений является важ- нейшим компонентом информационной безопасности, так как позволяет компа- ниям находить и устранять дефекты еще в процессе разработки мобильных при- ложений, до их релиза. В идеале анализ безопасности – это ком- бинация ручного тестирования на проник- новение (penetration testing) и автоматизи- рованного анализа в течение цикла разра- ботки. Такой подход обеспечивает наиболь- ший охват возможных уязвимостей прило- жения. Почему важна безопасность мобильных приложений? Количество мобильных приложений в мире быстро растет. Ежемесячно только в Google Play появляется около 100 тыс. новых разработок, а по состоянию на I квартал 2022 г. там было представлено 3,48 млн приложений для Android 1 . Для сравнения: Apple App Store предлагает 2,22 млн приложений для iOS. Количе- ство пользователей этих продуктов стре- мительно растет: еще в 2016 г. мобиль- ный трафик в мире превысил веб-трафик и с тех пор вырос на 58% 2 . У каждого крупного банка, магазина, авиакомпании есть свое мобильное при- ложение для взаимодействия с клиен- тами – мобильный доступ к товарам и услугам уже давно стал обычным явле- нием. Однако популярность мобильных при- ложений, их проникновение в процессы компаний провоцируют рост угроз кибер- безопасности. Хакеры все чаще совер- шают атаки с целью кражи личных дан- ных, информации о транзакциях или устраивают сбой в работе приложений. В стремлении быстро создать про- дукт и привлечь пользователей раз- работчики нередко пишут небезопас- ный код, таким образом создавая уязвимости и подвергая угрозе свою компанию и ее клиентов. Кибератаки могут стоить бизнесу очень дорого: они приводят к прямым финансовым потерям, наносят урон репутации компании, провоцируют штрафы со стороны регуляторов и отток клиен- тов. Исследования показывают, что 50% мобильных приложений имеют критиче- ские уязвимости 3 . Риски мобильной безопасности растут Компании используют достаточно про- двинутые инструменты и практики для проверок своих веб-приложений на защи- щенность. Но если говорить о мобильном ПО, то здесь все ограничивается перио- дическими ручными проверками. Такая ситуация сложилась из-за недостатка каче- ственных инструмен- тов для анализа без- опасности и нехватки компетенций. Мобильное ПО существенно отлича- ется от веб-приложе- ний, и потенциально оно более уязвимо. В отличие от веб-раз- работок, которые запускаются в изоли- рованном браузере, мобильные приложе- ния работают на устройстве, подклю- ченном к облачному серверу, и напрямую взаимодействуют с ОС и другими приложениями, а также хранят системную информацию на устрой- стве. Мобильные решения открывают хаке- рам широкие возможности для атак 4 . На сегодня почти треть приложений содержит такие уязвимости, как хране- ние информации в небезопасном месте, небезопасная передача информации, небезопасная авторизация, возмож- ность передачи произвольных команд на сервер, проблемы безопасности в библиотеках с открытым исходным кодом. Зачем и как решать проблемы безопасности мобильных приложений? огда мы говорим о безопасности мобильных приложений, то прежде всего подразумеваем процесс, связанный с выявлением, анализом и управлением рисками, встроенный в цикл разработки программного обеспечения. Он охватывает технологии и методы, которые снижают вероятность кражи паролей, конфиденциальных данных, взлома и вывода из строя приложений. К Андрей Никитин, директор по продуктовому маркетингу Стингрей Технолоджис (ГК Swordfish Security) Практики анализа мобильных приложений на защищенность 1 “Количество приложений, доступных в ведущих магазинах приложений по состоянию на 2022 г." https://www.statista.com/statistics/276623/number-of-apps-available-in-leading-app-stores/ 2 “Какой процент интернет-трафика приходится на мобильный?" https://www.oberlo.com/statistics/mobile-internet-traffic 3 “Исследования показывают, что 50% приложений имеют уязвимости в системе безопасности" https://www.securitymagazine.com/articles/94639-research-reveals-50-of-apps-have-security-vulnerabilities 4 Рекомендации по безопасной разработке приложений https://help.stingray-mobile.ru/rg/