Защита мобильных приложений

Мы работаем над сбором статистики происшествий в тех сферах, в которых хорошо осведомлены. Проблемы, возникающие на криптобиржах и сервисах следует отслеживать, так как их основным компонентом являются web-приложения. Чаще всего кибератаки осуществляются именно через эти системы.

Когда Вы разработали приложение, либо была внедрена система по приёму токенов в базовое приложение, знайте, что при анонсировании нововведения о нем узнает не только целевая аудитория, но и мошенники. И если не успеть выполнить проверку релиза на уязвимость, то преступники уже нацелятся на совершение неправомерных действий.

Хакеры всё так же атакуют банковские системы, невзирая на то, что степень защиты у них выше в сравнении финтех компаниями. В 2020 году увеличилось количество успешных взломов на азиатском континенте. Исходя из данных, полученных с банковских карт, в различных государствах у банков были похищены следующие суммы:

• Индия – 462000;
• Южная Корея – 397000;
• Малайзия, Сингапур и Филиппины – 235000.

Наличные деньги также воруют из фин. учреждений, но эти случаи тщательно скрываются, для того, чтобы сохранить существующую репутацию, иначе клиенты начнут массово уходить. Если до прессы и доходит какая-то информация, то она минимальна, а украденная сумма не указывается. При этом следуют заверения клиентам, что их средства находятся в безопасности. После этого общественность перестаёт волноваться, понимая, что банки пребывают под страховкой.

Владельцы компаний, которые не работают в финтехе, могут считать, что риски ничтожны, поскольку его бизнес не связан с хранением и переводом фин. средств. Но это мнение ошибочно, так как внимание кибермошенников привлекает все, что не защищено, но при этом это можно выгодно продать. В первую очередь конкуренты вашей фирмы захотят стать обладателями персональных данных и конфиденциальной информации. В даркнете они смогут приобрести ворованную базу сравнительно не дорого, и затем приступят к обработке данных тысяч клиентов. Каждый взломанный аккаунт, по отчёту IBM Security приносит убыток в размере 152 $. Исследователями был проведен опрос уже пострадавших от подобных действий компаний. Он показал, что было взломано 25600 аккаунтов, а финансовые потери составили 3,9 млрд. $.

Если кража или утечка всё же произошла, то следует быть готовым к тому, что доведётся иметь дело со штрафами и судебными исками за нарушение законодательства по защите персональных данных. В большинстве юрисдикций присутствуют правила, в которых описываются возможные проблемы с данными. Потому регулятору требуют от компаний-нарушителей информировать их и собственных клиентов, возмещать ущербы и оплачивать штрафные санкции.
С конца весны 2018 года в ЕС был принят Общий регламент защиты персональных данных, согласно которому существует два вида штрафов исходя из того, насколько серьёзным стало нарушение:

1. Мелкое. Штраф до 10 млн. евро или 2% от оборота за год;
2. Крупное. Штраф до 20 млн. евро или 4% от оборота за год.

В нашей стране эти штрафы гораздо мягче. Регулируются они законом № 152-ФЗ «О персональных данных». При нарушении придётся оплатить административное взыскание в размере 75 тыс. рублей. Эта ответственность была ужесточена в июле 2017 года и контролируется она Роскомнадзором.

Увы, даже эти штрафы не приводят к тому, что компании начинаю направлять свои силы на обеспечение информационной безопасности. Динамика компрометированных записей растёт гигантскими темпами из года в год, и пока обратной тенденции не намечается.

Отсутствие защиты данного кода даст возможность хакерам вернуть его в исходный, чего не нужно допускать. Ваше приложение, словно Форт-Нокс, должно быть неприступным. Если оставить двоичный код без должной защиты, преступники получат доступ к ценным данным внутри, таким как план хранилища и средства управления безопасностью.

Также мошенники могут оставлять под своим контролем мобильное приложение и загружать в магазины его версию, где будет содержаться вредоносный код, а название продукта будет совпадать с официальным.

Когда данные пользователей сохраняются в незащищённом месте, таких как файлы Plist, кто-то точно сможет получить к ним нелегальный доступ. Учётки и прочую информацию желательно хранить в «Связке ключей iCloud» либо KeyStore в Андроиде. Информацию, хранящуюся локально обязательно нужно зашифровать.

Библиотеки, содержащие открытый код
Эту составляющую следует регулярно обновлять, что позволит избежать проблем с безопасностью. При этом следует проявить осторожность, поскольку они считаются уязвимым местом, о чём прекрасно осведомлены киберпреступники, которые внедряют в них вредоносный код. Понять, что такая библиотека заражена не представляется возможным до того момента, когда автоматизированные процессы сборки, которые были настроены на применение последней версии, не выполнят её включение.

Отсутствие двухфакторной аутентификации
Если отсутствует 2FA, то использование такого мобильного приложения будет сопряжено с опасность, потому следует помнить о данной защите. Когда двухфакторная аутентификация активирована, она сможет воспрепятствовать хакерам, которые в состоянии подобрать обыкновенный пароль к пользовательскому аккаунту. Единоразовые пароли позволят обезопасить приложение и дадут гарантию того, что аккаунт останется в целости и сохранности.

По результатам исследования наиболее популярных web-приложений, которое проводилось в конце зимы 2020 года, стало известно, что 90% приложений позволяют атаковать людей, пользующихся ими, 39% сайтов давали возможность нелегального доступа к приложению, а через 68% приложений можно было предоставить свои данные мошенникам. Уделим внимание наиболее распространённым уязвимостям web-приложений, которые следует не допускать.

При управлении сессиями приложение идентифицирует пользователя исходя из различных запросов. Если пользователь делает попытку попасть в систему, оно оказывает ему помощь во взаимодействии с приложением без надобности повторного входа.

Хакеры предпринимают попытки ворваться в управление сессиями, чтобы появился вариант обойти аутентификацию. Когда получается это осуществить, вскоре они взламывают и всё
web-приложение целиком.

В предыдущие годы защита web-приложений происходила в виде настройки сервера, очистки сайта от посторонних файлов и частей кода. Тогда слабых мест было на порядок меньше, приложения имели простое строение, а пользователи действовали предсказуемо. С течением времени защищать приложения становилось все сложнее, поскольку происходило стремительное развитие серверной инфраструктуры. Код стал более сложным и объёмным, что и привело к увеличению поверхности атаки.

Для этого применялись разнообразные способы по всевозможным направлениям. Далее уделим внимание основным видам атак и способам взлома, которые использовали чёрные хакеры в мошеннических схемах и белыми преступниками в момент тестирования степени защищённости web-приложений.

Другими словами данный метод именуют «грубой силой». Посредством его осуществляется взлом приложений, имеющих критический класс, с целью выполнить перехват вызовы API и определить код авторизации, не оставив при этом следов преступления. Интересно, что код сохраняет впоследствии исходную форму. Также атакой предполагается изменение сопоставления так, чтобы образовывался альтернативный вариант вызова API, который сохранит данные банковских карт на ином сервере, соберёт информацию о пользователе и станет настроен на выполнение вредоносных действий.

Межсайтовый скриптинг или же XSS повсеместно используется хакерами для того, чтобы взломать сайты, что стало весьма серьёзной угрозой для их владельцев. Сейчас только самые крупные сайты, такие как Google и Microsoft способны с успехом отразить преступное внедрение.

Хакеры в момент XSS-атак применяют сценарии JavaScript, наносящие вред, которые встроены в ссылки, распространяемые ими. Если пользователь решает нажать на ссылку, он позволяет украсть собственные данные, перехватить web-сеанс и управление учёткой, а также поменять рекламные объявления на странице.

Чтобы защитить себя от таких атак, владельцам сайтов рекомендуется отфильтровывать вводимые клиентами данные, что позволит своевременно удалить вредоносный код.

Данный вид атаки производится с целью нагрузить сайт солидным объёмом трафика, который поступает в виде запросов, из-за чего серверы перестают нормально функционировать. В основном DDoS-атаки выполняются с ПК, скомпрометированных вредоносными программами. При этом люди, владеющими этими ПК, могут быть не в курсе происходящего.

Этот способ атаки называется CSRF и при нём происходит передача команд, не имеющих авторизации от клиента web-приложения. Хакеры имеют в распоряжении множество вариантов, как осуществить передачу поддельной команды, тегов изображений, скрытых форм и AJAX. До пользователя не доходит информация, что команду отправили, а сайт находится в полной уверенности того, что команду прислал аутентифицированный пользователь.

Посредством этого способа взлома внедряется повреждённая информация системы домена в кэш распознавателя DNS, с целью отправить трафик со страницы в иное место. Преступники применяют его для того, чтобы отправить трафик с тех сайтов, в которых они уверены, на дорвеи, содержащие вредоносное ПО.

Для создания качественного приложения требуется обратиться за помощью к:

• Дизайнерам;
• верстальщикам;
• разработчикам фронтенда и бэкенда.

Все эти люди должны обладать солидным опытом в разработке и проектировании приложений разной сложности.

Помимо этого разработанное приложение следует проверить на наличие ошибок и исправить их. Для этого потребуются услуги тестировщиков, QC и QA. Команда этих профессионалов возьмёт на себя проверку функциональности и верности работы сценариев приложения.

Важно понимать, что выявлением уязвимостей исследователи кода практически никогда не занимаются. Это прерогатива других сотрудников, а потому потребуется обратиться к профессионалам по инфобезапосности, которые будут располагать опытом в атаках и защите и смогут протестировать приложение относительно возможности проникновения в его структуру.

Если этого не сделать, то Ваше приложение останется не защищённым и киберпреступники воспользуются этим упущением, даже когда разработчики и татуировщики выполнили работу качественно. Обращаться к людям, занимающимся информационной безопасностью нужно всегда, когда выходит стабильная версия. Это позволит избежать возникновения слабых мест в программе. Кроме того специалисты нашей компании смогут разработать техническое задание для своих коллег из ИБ.

Этот процесс, который также называется пентест, очень сложный, но он является обязательным для того, чтобы приложение стало безопасным. Во время него происходит симуляция атаки на его составляющие, что позволяет выявить слабые места, которые могут стать объектом для настоящих хакеров.

В ручное тестирование входит попытка взлома любого числа составляющих приложения для выявления слабых мест. В качестве объектов, к примеру, могут использоваться API, внутренние либо внешние серверы.

По завершении тестирования web-приложения на возможность проникновения в него, итоговые результаты применяются при точной настройке безопасности. Также они послужат для устранения обнаруженных уязвимостей.

Сотрудники нашей компании по ИБ проведут тестирование безопасности web-приложений и мобильных приложений, которое будет состоять из пяти этапов.

Планирование и разведка

На стартовом этапе выявляются объёмы работ и целесообразности тестирования, а также используемые системы. Составляется метод тестирования, посредством которого его предполагается провести. Помимо этого проходит сбор технических данных, что требуется для понимания того, где могут возникнуть возможные уязвимости.

Динамический и статический анализ

Представленные типы анализа показывают, как приложение отреагирует на попытку вторжения в него. В первую очередь проводят статический этап, вовремя которого проверяется код приложения с целью оценить его поведение во время функционирования. Весь код сканируется за единственный проход. Затем наступает время динамической составляющей анализа, когда код проверяется уже в рабочем режиме.

Получение прав на доступ

Для того, чтобы определить возможные слабые места в приложении пентестеры сами прибегают к таким атакам, как XSS, бэкдоры, SQL-инъекция. Специалисты находят уязвимости, искусственно организовывая пропажу данных, перехват трафика и так далее, что позволяет выявить степень ущерба, нанесённого реальными атаками.

Поддержка доступа

Цель в этом случае следующая: понять, получится ли посредством уязвимости постоянно присутствовать в используемой системе. Суть идеи в том, чтобы происходила постоянная имитация регулярных продвинутых угроз, которые сохраняются в системе на протяжении месяцев, когда хакеры и могут своровать конфиденциальные данные.

Отчёт об итогах

В итоговом отчёте отображаются:

• обнаруженные и использованные уязвимости;
• информация, к которой был получен доступ;
• количество времени, на протяжении которого действия пентестера оставались незамеченными.