CC BY
62Р.В. Казюлин, Н.Г. Чернышов
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ
В данной статье рассматриваются особенности информационной безопасности мобильных приложений. Раскрываются проблемы отношения к информационной безопасности. Приведен анализ состояния информационной безопасности мобильных приложений в настоящее время. Рассмотрены компоненты информационной безопасности, наиболее распространенные виды угроз для мобильных приложений и основные способы и инструменты борьбы с ними. Обосновывается положение о важности информационной безопасности мобильных приложений. Сделан вывод, что разработчикам стоит ответственно и внимательно относиться к обеспечению безопасности приложения еще до его создания.
Ключевые слова: информационные технологии, мобильные приложения, информационная безопасность, уязвимости, угрозы информационной безопасности, конфиденциальность.
Современное время называют эрой технической революции. Стремительное развитие технологий в современном мире продолжает открывать человечеству невиданные ранее возможности. Информационные технологии создали для человека путь в новый мир. Сейчас людям практически невозможно представить свою жизнь без технологий.
Развитие технологий вместе со своими преимуществами и возможностями, а также значительным облегчением жизни во многих сферах накладывает на человека важную и ответственную задачу: обеспечение информационной безопасности.
Цифровизация деятельности человека наряду с преимуществами влечет за собой и определенные опасности. Развивается сфера создания мобильных приложений. Растет конкуренция, происходит битва за идеи и лучшее их воплощение. Важной частью процесса создания приложений является обеспечение информационной безопасности.
Информационная безопасность - состояние защищенности информационных ресурсов (информационной среды) от внутренних и внешних угроз, способных нанести ущерб интересам личности, общества, государства (национальным интересам).
Безопасность информации - защищенность информации от нежелательного ее разглашения, искажения, утраты или снижения степени доступности информации, а также незаконного ее тиражирования [1].
Кибератака - или хакерская атака - это вредоносное вмешательство в информационную систему компании, взлом сайтов и приложений, личных аккаунтов и устройств [2].
Основными угрозами конфиденциальной безопасности являются следующие угрозы:
- опасность нарушения конфиденциальности заключается в неправомерном доступе к информации;
- опасность доступности представляет собой нарушение временного или полного доступа к ресурсам информационной системы;
- опасность целостности означает намеренное изменение данных из информационной системы.
Значительную опасность представляет риск утечки данных. В значительной степени это важно в
приложениях, которые используют большой объем личных данных. В приложении необходимо подключить обязательную многофакторную аутентификацию и защиту конфиденциальной информации.
Обеспечение безопасности приложений включает разработку, тестирование и добавление средств защиты на уровне приложений, чтобы избежать уязвимостей, которые, в частности, позволяют осуществлять несанкционированный доступ к приложению и вносить в него изменения.
Мобильные приложения являются основным средством для таких атак, как кража сеансов cookie, межсайтовый скриптинг, самораспространяющиеся черви в электронной почте и на web-сайтах. Такие атаки называются инъекционными атаками. Атаки с помощью инъекций позволяют киберпреступникам
© Р.В. Казюлин, Н.Г. Чернышов, 2023.
выполнить вход в приложение без знания имени пользователя и пароля для раскрытия частной или конфиденциальной информации или для захвата всего сервера. Определив первопричины уязвимостей, можно внедрить меры безопасности для предотвращения проблем.
Согласно статистике Positive Technologies, наиболее часто встречающиеся уязвимости веб-приложений за прошедший год связаны с неправильной настройкой безопасности [4]. Такая проблема была обнаружена в 45% исследованных приложений.
Основными категориями вредоносных программ являются: вирусы, троянские программы и шпионское программное обеспечение (ПО). Вирусы часто маскируются под игры или другое программное обеспечение, загружаемое пользователем на мобильное устройство. Специфичность вирусов для мобильных устройств не сильно отличается от вирусов для ПК. Для обеспечения информационной безопасности следует регулярно проверять приложение на устойчивость к угрозам.
Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации [1].
Для выявления потенциальных факторов риска и обеспечения информационной безопасности нужно проводить обязательное тестирование приложений. В основном для преодоления защиты используются два типа тестов, они называются белым и черным ящиками.
Метод белого ящика, или статистическое тестирование безопасности (CAST), предполагает оценку со стороны разработчика. Другими словами, специалист получает доступ к исходному коду и проверяет, работают ли все алгоритмы.
Метод черного ящика заключается в том, что тестировщик не располагает никакой информацией о системе и анализирует приложение на предмет функциональности с позиции обычного пользователя.
Для обеспечения такого контроля на разных этапах процесса разработки и обслуживания необходимо решить две задачи:
- определить и формализовать причины уязвимостей в веб-приложениях (разработать модель приложения в контексте обнаружения уязвимостей);
- автоматизировать обнаружение уязвимостей для SQL-инъекций с помощью сбора информации об их типе (разработать модель обнаружения уязвимостей).
Разработчики могут разрабатывать и создавать приложения таким образом, чтобы злоумышленники не могли получить доступ к личным данным, обманным путем получить доступ к учетным записям пользователей и выполнить другие вредоносные действия. Методами предотвращения этих рисков являются следующими:
- требование проверки входных данных: блокирование прохождения неправильно отформатированных данных через рабочие процессы приложения помогает предотвратить проникновение вредоносного кода в приложение посредством инъекционной атаки;
- использование современного шифрования: хранение пользовательских данных в зашифрованном виде наряду с использованием протокола HTTPS для шифрования передачи входящего и исходящего трафика помогает предотвратить кражу данных злоумышленниками;
- обеспечение надежной аутентификации и авторизации: создание и применение средств контроля для надежных паролей, предоставление вариантов многофакторной аутентификации, включая жесткие ключи, предоставление вариантов контроля доступа и другие методы затрудняют злоумышленникам мошеннический доступ к учетным записям пользователей и боковые перемещения внутри вашего приложения;
- отслеживание API: существуют инструменты для выявления пропущенных «теневых API», которые могут представлять собой поверхность атаки, но безопасность API становится проще, когда API никогда не пропускаются в первую очередь;
- документирование изменений в коде: это помогает командам безопасности и разработчиков быстрее устранять вновь появившиеся уязвимости [5].
Методы обеспечения информационной безопасности:
- если файлы cookie отключены в браузере пользователя, это необходимо для предотвращения передачи сеанса по URL-адресу;
- при хранении или передаче конфиденциальной информации используются зашифрованные протоколы с сертификатом SSL;
- для особо важных действий необходимо повторно запросить пароль;
- завершение сеансов вовремя и достаточно часто.
Сообщество безопасности открытых веб-приложений (OWASP) разработало практическое руководство Mobile Application Security Verification Standard (MASV) [3].
В стандарте описано восемь направлений защиты: архитектура приложения (Architecture); хранение данных и приватность (Data storage); криптография (Cryptography); управление сессиями и аутентификация (Authentication); передача данных (Network Communication); взаимодействие с платформой (Platform Interaction); качество кода (Code Quality); защита от модификаций и отказоустойчивость (Resiliency).
В данной статье проведен обзор проблем, возникающих при создании, ведении приложения, а также представлены способы обеспечения безопасности. Таким образом, разработчикам стоит ответственно и внимательно относиться к обеспечению безопасности приложения еще до его создания.
Библиографический список:
1. Вострецова Е.В. Основы информационной безопасности. Екатеринбург: Уральский федеральный университет, 2019. 204 с. ISBN 978-5-7996-2677-8.
2. Information technology - Security techniques - Information security. URL: http://www.iso.org/iso/catalogue_detail?csnumber=56742 (дата обращения: 26.04.2023).
3. OWASP Mobile Security Project -- OWASP. URL: https://www.owasp.org/index.php/ASP_Mobile (дата обращения: 26.04.2023).
4. Web Applications vulnerabilities and threats. URL: https://www.ptsecurity.com/ww-en/analytics/web-vulnerabili-ties-2020 (дата обращения: 26.04.2023).
5. OWASP Mobile Security Testing Guide. URL: https://www.owasp.org/index.php/OWASP_Mobile_Security_Test-ing_Guide (дата обращения: 26.04.2023).
КАЗЮЛИН РОМАН ВАСИЛЬЕВИЧ - магистрант, Тамбовский государственный технический университет, Россия.
ЧЕРНЫШОВ НИКОЛАЙ ГЕНРИХОВИЧ - кандидат технических наук, доцент, Тамбовский государственный технический университет, Россия.
