Анализ мобильных приложений на безопасность: какие инструменты используют сейчас и почему они иногда бесполезны

На 25 пар российских приложений для iOS и Android приходится 216 уязвимостей. К таким выводам в 2022 году пришли в Positive Technologies. Беды с безопасностью также подтвердили в Стингрей Технолоджиз. По данным компании, уязвимости содержат 83% российских мобильных приложений. Ответственность за возможные угрозы во много лежит на разработчиках. Часто они не проводят качественный анализ защищенности приложений.

Какие инструменты помогают оценивать безопасность мобильных продуктов сейчас? Что уже можно списывать со счетов? И почему в Google Play появляются опасные приложения, несмотря на высокие требования к безопасности? Подробности – в этой статье.

Что сейчас актуально

Технологии развиваются стремительно. Причем как на стороне атакующих, так и на рынке средств защиты и анализа безопасности ИТ-продуктов. Некоторые успевают адаптироваться под новые вызовы, другие – нет.

Именно поэтому эксперты советуют регулярно проверять инструменты анализа приложений на актуальность. Достаточно обращать внимание на то, как часто обновляется решение и остается ли востребованным среди коллег.

Иван Король

Разработчик ПО Anwork

Чтобы определить актуальность того или иного средства защиты, необходимо изучить и учесть такие факторы, как время последнего обновления и наличие поддержки последних версий Android.

Кроме того, следует обратить внимание на поддерживаемые сообществом инструменты с открытым исходным кодом и авторитетные коммерческие решения с историей регулярных обновлений и сопровождения.

Такие инструменты, по мнению эксперта, с большей вероятностью сохранят свою актуальность в быстро развивающейся области безопасности мобильных приложений. И именно они относятся к самым популярным классам средств анализа и защиты.

Екатерина Старостина

Директор по развитию бизнеса «Вебмониторэкс»

Наиболее актуальными инструментами анализа Android-приложений на безопасность считаю сканеры уязвимостей, декомпиляторы и статические анализаторы кода. Первые помогают обнаруживать недостатки аутентификации, утечки данных и другие уязвимые места в коде.

Декомпиляторы позволяют разобрать исходный код приложения для анализа его структуры и возможных уязвимостей. А статические анализаторы ищут потенциальные проблемы без необходимости запуска приложения, исследуя исходный код на предмет уязвимостей.

Современными решениями эксперты считают такие инструменты анализа мобильных приложений, как Android Studio Emulator, Windows Subsystem for Android, BurpSuite, MitmProxy, OWASP ZAP, JADX, Apktool, ByteCode Viewer, Frida, WebViewDebugHook, scrcpy,  Drozer, MobSF и AppUse. При этом сомнительными часто называют:

• динамические анализаторы кода – запускают приложение и анализируют его поведение во время выполнения, что может быть недостаточно эффективным при поиске сложных уязвимостей;
• старые версии сканеров уязвимостей – могут не иметь обновлений и не учитывать новые риски, которые появляются со временем,
• некоторые эмуляторы Android – потеряли актуальность, поскольку современные аналоги (Genymotion и Android Studio) обладают улучшенными возможностями и функциями безопасности;

Также эксперты не рекомендуют использовать  устаревшие декомпиляторы и дизассемблеры. Они могут стать менее эффективными при анализе современных приложений для Android, поскольку разработчики часто применяют новые методы обфускации и защиты.

Почему уязвимости остаются

Тем не менее в магазинах появляются уязвимые приложения. Также есть риск натолкнуться на вредоносные продукты. И чаще всего, как отмечают эксперты, причины сводятся к быстрым процессам в мобильной разработке.

Специалисты отдела ИБ

Платформа корпоративных коммуникаций и мобильности eXpress

Ежедневно на Google Play и Apple Store появляются тысячи новых приложений. Скорость их разработки часто приводит к недочетам в безопасности, так как разработчики стремятся вывести продукт на рынок как можно быстрее.

Также влияет отсутствие строгого контроля. Apple имеет более строгий процесс проверки приложений перед их публикацией, но даже это не является 100%-ной гарантией. У Google Play процесс менее строгий. И несмотря на то, что есть автоматические системы проверки, они не всегда эффективны.

Возможно, по мнению специалистов, к проблемам также приводит нехватка ресурсов для аудита. Платформы могут не иметь достаточных ресурсов для проведения тщательного аудита безопасности каждого загруженного приложения. Если учесть их количество, аргумент выглядит логичным.

Максим Калик

Software Engineer компании Restpen

Иногда сами разработчики по незнанию включают в продукты сторонние библиотеки, которые могут иметь уязвимости или быть вредоносными. Программисты не всегда следуют good-practice в безопасности, оставляя порой очевидные уязвимости в своих приложениях.

Еще одна причина, почему вредоносное ПО попадает в магазин, – оно может быть прибыльным. Особенно если с помощью него можно украсть пользовательские данные, показывать нежелательную рекламу или захватывать ресурсы устройства. Этот финансовый стимул заставляет злоумышленников постоянно внедрять инновации и находить способы проникновения в магазины приложений.

При всем этом уязвимости в Android-приложениях часто возникают на фоне отсутствия обновлений. Пока ситуация выглядит так: чем чаще приложение релизится, тем выше возможная гарантия безопасности. Найденные разработчиком уязвимости устраняются раньше, чем их заметит магазин или жертва-пользователь.

Хотя проблемой может быть и быстрое обновление продукта. Даже если приложение прошло все проверки и было безопасным на момент публикации, последующие релизы могут внести в продукт уязвимости – предупреждают эксперты.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Сейчас основной способ доставки вредоносных приложений в магазины стал двухэтапным, и отследить их появление довольно сложно. На первом этапе в магазин загружается легитимное приложение, которое без проблем пройдет все необходимые проверки. Но как только такое приложение загрузит и впервые запустит пользователь, оно станет скачивать с контролируемых злоумышленниками серверов вредоносные «обновления» и начнет разрушительные действия.

Технически провернуть подобные схемы несложно, считают эксперты. Более того, есть «уязвимости» в самих платформах магазинов, которые позволяют это сделать.

Антон Шустиков

Бизнес-консультант, ментор

Внутри Google Play существует анализатор Bouncer, который сканирует и проверяет все приложения без исключения. Он весьма надежен, работает давно и очень качественно поддерживается. Но если какой-либо модуль в приложении подгружается уже во время работы, то это поможет обойти сканер Bouncer. На это и рассчитаны основные векторы атак.

По словам Антона Шустикова, злоумышленники обновляют приложения прямо в магазине. Такое возможно, если преступникам удается получить доступ к аккаунту разработчиков.

Выводы

Конечно, проблемы с безопасностью приложений – это ответственность не только разработчиков, но и платформ-магазинов. Но вина также лежит на пользователях – часто уязвимости превращаются в инциденты из-за них. И, казалось бы, на смартфонах есть антивирусы с механизмами обнаружения вредоносного кода. Но причиной проблемы становится тот, кто использует устройство.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Основной «инструмент» – это пользователь. Если вы скачали приложение с неизвестного сайта, запустили и оно потребовало доступ к вашим фотографиям, а вы на это согласились, то боюсь никакой антивирус тут не поможет.

Однако списывать все беды на пользователя нельзя, считают эксперты. Разработчики могут и должны заботиться о том, чтобы уязвимости не доходили до него. И актуальные инструменты анализа защищенности приложений с этим успешно справляются. Главное – не пренебрегать ими в гонке за быстрый продакшн.