Массовая миграция в онлайн-пространство привела к широкому применению портативных устройств, особенно мобильных. Становится всё труднее представить жизнь пользователей без мобильных приложений и постоянного обновления информации.
По статистике, россияне проводят в сети 7 часов 17 минут ежедневно, в то время как среднестатистический пользователь – 6 часов 43 минуты. А как показывает отчёт компаний We Are Social и Hootsuite, количество интернет-пользователей в России превышает 80%, в то время как более половины из них чаще пользуются мобильным интернетом.
Эксперты компании App Annie заявляют, что 10 из каждых 11 минут пользователи проводят в мобильных приложениях. Учитывая, какую роль стали играть такие ИТ-решения, многие компании заботятся о качестве приложений, особенно об их безопасности.
Исследование BetaNews показывает, что 44% приложений содержат личные данные, требующие высокого уровня защищённости, а 66% — используют функциональные возможности, которые могут поставить под угрозу конфиденциальность информации о пользователях.
Чтобы быть уверенными в безопасности поставляемых мобильных приложений, компании полагаются на экспертное мнение специалистов OWASP, которые предоставляют рекомендации по тестированию безопасности. В данной статье мы поговорим про распространённые дефекты в этой области и выясним, как правильно их предотвратить.
Среди лидеров мобильных приложений по числу установок 94% содержат по меньшей мере три уязвимости среднего риска, а 77% — хотя бы две критичные.
Как показывает аналитика компании NowSecure, полученные на основе топа десяти уязвимостей по OWASP, трудности с хранением информации и передачей данных появляются уже в процессе разработки ПО. А около 1/3 приложений содержат скрытую функциональность и узкие места в исходном коде.
На рисунке ниже можно увидеть, что данные дефекты берут первые три места как наиболее критические уязвимости мобильных приложений. Давайте обсудим их детальнее.
Источник: Исследование компании NowSecure
По сравнению с остальными видами устройств, мобильные телефоны больше остальных находятся в зоне риска по краже или потере. Но даже если физическая копия устройства будет при пользователе, компаниям следует больше заботиться о надлежащем уровне хранения чувствительных данных (конфиденциальная информация и др.) для предотвращения преднамеренных и непреднамеренных утечек.
Особенно критично вопрос стоит для ПО в области банков и финансов, а также здравоохранения: небезопасность хранения номеров банковских карт или нюансов о состоянии здоровья пациентов в большинстве случаев может вызвать недоверие со стороны пользователей, а это может привести к репутационным потерям.
Взаимодействие между разными платформами стало нормой для многих приложений. Использование Google-аккаунта при регистрации или онлайн-оплата – одни из тех удобств, от которых пользователи не хотят отказываться. Использование открытых API приносит пользу не только клиентам, когда интеграция сервисов обеспечивает конечным пользователям многофункциональное и удобное приложение, но и компаниям, помогая им удовлетворять свои бизнес-потребности.
Особенно важно в таком случае помнить про риск утечки личной информации, который становится только выше за счёт небезопасной передачи данных. Важно не забывать использовать методы TLS- и SSL-шифрования и убеждаться, что подключенные к приложению сторонние сервисы соответствуют требованиям безопасности, включая минимальный набор разрешений, проверку входных данных из внешних источников и многое другое.
Около половины всех проанализированных приложений содержат скрытую функциональность для упрощения отладки и тестирования приложения. Но часто она остается и при выходе в продуктив, что упрощает взлом данных мошенниками.
Каким образом? Злоумышленники могут скачать приложение, изучить файлы конфигурации, просмотреть сам код и получить доступ к административной части ПО. Всё это может привести к раскрытию конфиденциальных данных, криптографических расширений, краже интеллектуальной собственности и многому другому.
Поэтому организациям следует продумать все возможные сценарии и предотвратить потенциальные риски, обеспечив безопасную работу приложения.
ИТ-индустрия и подходы к тестированию меняются стремительно, поэтому компаниям нужно успевать адаптироваться к гибким методологиям. Но как выпустить безопасный программный продукт и не потерять в скорости доставки по сравнению с конкурентами?
Наши эксперты рекомендуют внедрить следующие меры по улучшению безопасности ИТ-решения.
Читайте продолжение статьи по ссылке: https://www.a1qa.ru/blog/prakticheskij-vzglyad-na-bezopasnost-mobilnyh-prilozhenij-po-owasp/