Главная » Блоги Экспертов И ИТ-Компаний » Практический взгляд на безопасность мобильных приложений по OWASP
Более 18 лет обеспечиваем качество ПО 1 месяц назад

Практический взгляд на безопасность мобильных приложений по OWASP

Массовая миграция в онлайн-пространство привела к широкому применению портативных устройств, особенно мобильных. Становится всё труднее представить жизнь пользователей без мобильных приложений и постоянного обновления информации.

По статистике, россияне проводят в сети 7 часов 17 минут ежедневно, в то время как среднестатистический пользователь – 6 часов 43 минуты. А как показывает отчёт компаний We Are Social и Hootsuite, количество интернет-пользователей в России превышает 80%, в то время как более половины из них чаще пользуются мобильным интернетом.

Эксперты компании App Annie заявляют, что 10 из каждых 11 минут пользователи проводят в мобильных приложениях. Учитывая, какую роль стали играть такие ИТ-решения, многие компании заботятся о качестве приложений, особенно об их безопасности.

Исследование BetaNews показывает, что 44% приложений содержат личные данные, требующие высокого уровня защищённости, а 66% — используют функциональные возможности, которые могут поставить под угрозу конфиденциальность информации о пользователях.

Чтобы быть уверенными в безопасности поставляемых мобильных приложений, компании полагаются на экспертное мнение специалистов OWASP, которые предоставляют рекомендации по тестированию безопасности. В данной статье мы поговорим про распространённые дефекты в этой области и выясним, как правильно их предотвратить.

ТОП-3 УЯЗВИМОСТЕЙ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ

Среди лидеров мобильных приложений по числу установок 94% содержат по меньшей мере три уязвимости среднего риска, а 77% — хотя бы две критичные.

Как показывает аналитика компании NowSecure, полученные на основе топа десяти уязвимостей по OWASP, трудности с хранением информации и передачей данных появляются уже в процессе разработки ПО. А около 1/3 приложений содержат скрытую функциональность и узкие места в исходном коде.

На рисунке ниже можно увидеть, что данные дефекты берут первые три места как наиболее критические уязвимости мобильных приложений. Давайте обсудим их детальнее.

Топ уязвимостей

Источник: Исследование компании NowSecure

Небезопасное хранение данных

По сравнению с остальными видами устройств, мобильные телефоны больше остальных находятся в зоне риска по краже или потере. Но даже если физическая копия устройства будет при пользователе, компаниям следует больше заботиться о надлежащем уровне хранения чувствительных данных (конфиденциальная информация и др.) для предотвращения преднамеренных и непреднамеренных утечек.

Особенно критично вопрос стоит для ПО в области банков и финансов, а также здравоохранения: небезопасность хранения номеров банковских карт или нюансов о состоянии здоровья пациентов в большинстве случаев может вызвать недоверие со стороны пользователей, а это может привести к репутационным потерям.

Проблемы с передачей данных

Взаимодействие между разными платформами стало нормой для многих приложений. Использование Google-аккаунта при регистрации или онлайн-оплата – одни из тех удобств, от которых пользователи не хотят отказываться. Использование открытых API приносит пользу не только клиентам, когда интеграция сервисов обеспечивает конечным пользователям многофункциональное и удобное приложение, но и компаниям, помогая им удовлетворять свои бизнес-потребности.

Особенно важно в таком случае помнить про риск утечки личной информации, который становится только выше за счёт небезопасной передачи данных. Важно не забывать использовать методы TLS- и SSL-шифрования и убеждаться, что подключенные к приложению сторонние сервисы соответствуют требованиям безопасности, включая минимальный набор разрешений, проверку входных данных из внешних источников и многое другое.

Скрытая функциональность

Около половины всех проанализированных приложений содержат скрытую функциональность для упрощения отладки и тестирования приложения. Но часто она остается и при выходе в продуктив, что упрощает взлом данных мошенниками.

Каким образом? Злоумышленники могут скачать приложение, изучить файлы конфигурации, просмотреть сам код и получить доступ к административной части ПО. Всё это может привести к раскрытию конфиденциальных данных, криптографических расширений, краже интеллектуальной собственности и многому другому.

Поэтому организациям следует продумать все возможные сценарии и предотвратить потенциальные риски, обеспечив безопасную работу приложения.

3 ШАГА НА ПУТИ К ОБЕСПЕЧЕНИЮ НАДЁЖНОСТИ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ

ИТ-индустрия и подходы к тестированию меняются стремительно, поэтому компаниям нужно успевать адаптироваться к гибким методологиям. Но как выпустить безопасный программный продукт и не потерять в скорости доставки по сравнению с конкурентами?

Наши эксперты рекомендуют внедрить следующие меры по улучшению безопасности ИТ-решения.

Читайте продолжение статьи по ссылке: https://www.a1qa.ru/blog/prakticheskij-vzglyad-na-bezopasnost-mobilnyh-prilozhenij-po-owasp/


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
7 495 640-89-38
Информационные технологии

a1qa – ведущий провайдер услуг в сфере тестирования ПО в Восточной и Центральной Европе. Клиенты a1qa – международные компании, представляющие различные домены бизнеса. Штат сотрудников составляет более 800 инженеров по тестированию. Компания предоставляет полный цикл услуг по тестированию ПО (производительность, безопасность, миграция и многое другое), консалтинг по вопросам обеспечения качества, бизнес-анализ, проводит автоматизацию тестирования.

В России офисы и центры тестирования компании расположены в Москве, Санкт-Петербурге и Рязани.

Контакты:

info@a1qa.ru

Подробную информацию об услугах компании можно получить на сайте a1qa.ru.




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>