Основные проблемы с безопасностью мобильных приложений

Юрий Шабалин
Генеральный директор Стингрей Технолоджиз

По данным наших исследований в области безопасности мобильных приложений, в 2022 году злоумышленники атаковали их в 5 раз чаще, чем в 2021. В основном, действия хакеров были связаны с кражей данных, нарушением доступности сервисов и созданием поддельных аккаунтов. 2023 год еще не закончился, но мы видим, что тренд на увеличение частоты атак сохраняется год от года. С одной стороны, это тревожные новости. Однако, с другой мы видим, что компании всерьез взялись за закрытие уязвимостей в защищенности мобильных приложений. Похоже, что корпорации наконец пришли к правильным выводам в отношении необходимости защиты персональных данных и финансовых активов клиентов, и принялись активно устранять пробелы в безопасности.

В 2022 году, по данным нашего исследования, около 83% мобильных приложений содержали уязвимости высокого и критического уровня. В I полугодии 2023 – 71%, и ситуация улучшается – в первом квартале показатель был 79%. Впрочем, есть индустрии, которые никак не изменили свой результат за этот период: образование (100%), еда (89%), спорт (88%). Занимательно, что это одни из самых «близких к телу» сфер, которые хранят как домашний адрес, данные карт, состав членов семьи, так и подтягивают географическое положение телефона в моменте для тех, кто разрешает постоянную геолокацию.

И сейчас, как и в прошлом году, каждое 4-е приложение разрешает сетевые соединения по незащищенному протоколу http, что упрощает перехват трафика злоумышленниками. Казалось бы, несложно поправить настройки, почему бы не сделать это? Также ситуация с хранением чувствительной информации в исходном коде приложения не стала лучше – 72% приложений содержат эту критическую уязвимость. Токены, пароли, ключи шифрования, учетные данные по-прежнему торчат в приложениях всех сфер.

Сегодня мы отмечаем улучшения в части включения опции создания резервной копии приложения. В этом году только 33% приложений грешат этим (2022г. – 37%). Компании снизили риск утечек при небезопасном хранении данных. Также улучшился показатель по небезопасным настройкам в AndroidManifest.xml (атрибут hasFragileUserData) – 88% (2022г. – 98%). Неверная конфигурация позволяет сохранять во внутреннем и внешнем хранилищах персональные данные клиента даже после удаления приложения. Чуть лучше стала картина по хранению публичного ключа/сертификата в директории/ресурсах приложения – 12% против 15% в 2022 году. Подмена такого ключа позволяет как украсть данные, так и безвозвратно зашифровать их, сделав сервисы недоступными.

Отдельная боль рынка – это мобильные приложения-подделки. Ввиду политической ситуации их стало невероятно много. Официальные приложения из многих магазинов были принудительно удалены, а их дырявые подкрученные копии, созданные людьми с плохими намерениями, тиражированы повсеместно. Причем именно тут корпорации стараются помочь клиенту максимально – настоятельно просят скачивать «чистые» приложения с основного ресурса компании, либо вкладывают их в клиентские рассылки, но почему-то люди упорно скачивают кота в мешке из загадочных телеграмм-каналов, либо по ссылке от внезапных друзей в соцсетях.

Гибкость рынка и кадровый вопрос

Ко всему этому в очередной раз хочется добавить, что давно пора обновить классификацию уязвимостей в OWASP Mobile Top 10 (последнее обновление было в 2016 году). Из всех каналов трубят, что люди массово перешли в мобильные устройства и большую часть действий в сети проводят именно с них, а мировое сообщество почему-то закрывает на это глаза и упорно ежегодно обновляет только общий рейтинг OWASP Top 10. Не отреагировали ни на полный захват учетной записи в TikTok через Deeplink, ни на то, как взломали Tesla через BLE-соединение между машиной и мобильным приложением. Хорошо, что хотя бы в OWASP Mobile Application Security Standard (MASVS) в этом году вышла новая версия, и обновились гайды MSTG.

В связи с этим встает вопрос об обучении новых специалистов. Кадровый голод на рынке запредельный. А поскольку единый стандарт и база не обновлялись давно, то тренеры по мобильной безопасности вынуждены разрабатывать обучающие программы на собственном опыте, обогащая личными примерами. И вот вопрос – много ли практикующих тренеров в нашей стране, которые регулярно способны проводить обучение, совмещая его с регулярной рабочей активностью, которая тоже требует большой отдачи? Ответ до ужаса тосклив – хорошо, если на всю Российскую Федерацию хотя бы сотня наберется. В образовательных учреждениях давно учат по древним рукописям, дело спасают только энтузиасты. Давно напрашивается создание некой единой площадки с динамичной программой и каким-то порталом знаний, куда могли бы внести свой вклад все практикующие специалисты по ИБ в отрасли.

Как сделать приложения более безопасными?

Главное, что стоит учитывать разработчикам при создании мобильных приложений, - это включение проверок безопасности в полный цикл создания ПО, от появления идеи до выпуска на рынок. Особое внимание стоит обратить на корректное использование алгоритмов шифрования для безопасного хранения и передачи данных. Кроме того, вся чувствительная информация вообще должна быть надежно защищена и недоступна извне. Также особое внимание следует уделить защите при передаче данных по сети, иначе говоря, сетевого взаимодействия между приложением и его сервером, защитить пользователя от атак с перехватом его данных по сети.

Для обеспечения безопасности приложений необходимо регулярно производить их тестирование на проникновение для выяснения, какие угрозы и риски существуют, какие информационные активы обрабатываются. Для этих целей возможно привлекать специалистов или же использовать автоматизированные средства анализа защищенности. Это позволит выявить перечисленные выше и многие другие уязвимости на самых ранних стадиях создания или развития приложения. Встроить проверки в процесс разработки несложно. Как говорится, было бы желание.