В рабочем порядке: аудиторы F.A.C.C.T. проверили безопасность корпоративного коммуникатора ANWORK

26.09.2023
В рабочем порядке: аудиторы F.A.C.C.T. проверили безопасность корпоративного коммуникатора ANWORK

Специалисты компании F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями, провели исследование защищенности мобильного приложения — ANWORK. Этот новый отечественный мессенджер, предназначенный для безопасных корпоративных коммуникаций и защищенного обмена данными.

На фоне массового взлома популярных мессенджеров и негласных запретов на использование в российских компаниях зарубежных приложений для передачи конфиденциальных данных разработчики ANWORK уделяют повышенное внимание защищенности приложения и конфиденциальности передаваемых данных.

Его особенности — высокоуровневое шифрование на базе криптостойкого протокола Signal (end-to-end encryption) для сообщений, видеозвонков и аудиоконференций. Внедренная в мессенджере обезличенная регистрация, закрытые группы, локальное хранение данных исключительно на устройствах пользователей и автоудаление истории, по словам разработчиков, не позволят злоумышленникам получить через приложение доступ к личным данным, переписке или контактам пользователей.

Для проверки уровня защищенности мессенджера ANWORK была привлечена команда Департамента аудита и консалтинга компании F.A.C.C.T. Аудиторы провели экспресс-анализ защищенности мобильного приложения на платформах iOS и Android.

В ходе проверки эксперты подтвердили, что приложение надежно защищает дистанционную передачу данных, даже несмотря на некоторые уязвимости среднего и низкого уровня риска, так как их эксплуатация требует наличия у злоумышленника прав суперпользователя и непосредственного физического доступа к устройству.

Получив от экспертов подробный технический отчет, содержащий информацию о ходе тестирования, описание обнаруженных уязвимостей, а также рекомендации по снижению потенциальных угроз безопасности, разработчики ANWORK оперативно устранили выявленные недостатки.

"Для команды ANWORK было важно создать продукт, который защищает корпоративные данные настолько хорошо, насколько это вообще возможно, — рассказывает Иван Король, разработчик ПО ANWORK. — Именно поэтому мы регулярно проходим аудиты защищенности — в прошлом году аналогичную проверку прошла версия решения для конечных пользователей. Разумеется, при проектировании приложения мы, в первую очередь, думали о том, как защитить процессы, неподконтрольные пользователю, оставляя ему возможность самому следить за сохранностью и безопасностью своего телефона. Однако, мы прислушались к мнению аудиторов и провели работу по устранению замечаний. Таким образом, сейчас наше приложение практически достигло того уровня, когда его взлом становится просто бессмысленным — слишком дорогую цену придется заплатить для того, чтобы получить доступ к пользовательским данным".

"Проведение регулярного аудита — одно из обязательных условий обеспечения безопасной работы мобильных приложений, — замечает Александр Соколов, руководитель Департамента аудита и консалтинга компании F.A.C.C.T. — Особенно важно проводить исследование защищенности в отношении нового приложения, готового к выходу на рынок. В случае с ANWORK проверка была двухэтапной: сначала мы провели полноценное тестирование приложения и его компонентов, в результате которого были обнаружены некоторые недостатки. После их устранения командой разработчиков мы провели оценку корректности их устранения. Это важный этап, так как именно он позволяет сделать вывод, что уязвимости устранены, а безопасность приложения возросла».


Популярные материалы