Почему важно защищать мобильные приложения
![Почему важно защищать мобильные приложения](https://admin.swordfish-security.ru/storage/2023/06/29/96b993a03710c4e4650af68d9468878afafc5296.jpg)
В рамках исследования защищённости мобильных приложений от российских разработчиков наша команда проверила 790 продуктов из разных отраслей и нашла в них 12 383 уязвимости. Часть проблем связана с сетевым взаимодействием, с помощью этих брешей злоумышленники могут реализовать атаку «внедрённый посредник» (Man-in-the-Middle). В следующую категорию входят ошибки конфигурации: у 31 % приложений отсутствует или находится на недостаточном уровне обфускация исходного кода, 37 % Android-продуктов позволяют создавать резервную копию данных. Ещё одна группа включает в себя уязвимости связанные с некорректным хранением конфиденциальной информации, ключей и сертификатов. Специалисты Positive Technologies в течение 2022 года изучили 25 пар приложений для iOS и Android и выявили в них 216 уязвимостей. Наибольшую долю (14 %) составили проблемы относящиеся к хранению данных пользователей в открытом виде. По 9 % пришлось на уязвимости связанные с контролем целостности приложений и содержанием конфиденциальной информации в коде. Третье место заняли проблемы из категории проверок на недоверенное окружение (8 %). Результаты аналитических исследований подтверждают, что компании уделяют недостаточно внимания безопасности мобильных приложений. Это упрощает задачи злоумышленникам. Например, специалисты Microsoft нашли в приложении TikTok для Android уязвимость, которая позволяла хакерам мгновенно получать доступ к чужим аккаунтам после того, как пользователи нажимали на специальную ссылку. В этой статье мы разберём основные аргументы, доказывающие, что мобильные приложения нуждаются в защите не меньше другого ПО. Статья ведущего архитектора Swordfish Security, Юрия Шабалина опубликована на anti-malware — читать.
-
- 24 июля
Разбираемся с новой уязвимостью Android-библиотеки Jetpack Navigation: как открыть любой ф...
-
- 08 июля
Защита персональных данных в мобильных приложениях: как не нарушить закон
-
- 04 июля
Вебинар по фаззингу REST API: научим закрывать риски безопасности 10 июля
-
- 21 июня
Trivy: вредные советы по скрытию уязвимостей
-
- 04 июня
Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
-
- 14 мая
Container Security: как обеспечить безопасность контейнеров в жизненном цикле разработки ПО