CC BY
3
УДК 004.056
ОБЗОР ОСНОВНЫХ УЯЗВИМОСТЕЙ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ
М.С. Демичев, Р.Ф. Файзулин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: faizulin_rinat@list.ru
Рассматривается проблема уязвимости мобильных приложений и угроз безопасности информации, которая может в них содержаться. Идет ознакомление с типами мобильных приложений, анализируются основные типы угроз и уязвимостей различных программных мобильных разработок. Изучаются сервисы для анализа уязвимостей мобильных приложений.
Ключевые слова: мобильное приложение, уязвимость, информационная безопасность, информация, анализ уязвимостей, угроза безопасности.
REVIEW OF THE MAIN VULNERABILITIES OF ELECTRONIC DEVICES
M.S. Demichev, R.F. Faizulin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: faizulin_rinat@list.ru
We consider the problem of vulnerability of mobile apps and information security threats found in them. We get acquainted with the types of mobile apps, analyze the main types of threats and vulnerabilities of different mobile software developments. We also study the services for analysis of mobile apps' vulnerabilities.
Keywords: mobile app, vulnerability, information security, information, analysis of vulnerabilities, security threat
Введение. Мобильные устройства прочно вошли в нашу жизнь: мессенджеры, банкинг, бизнес-приложения, личные кабинеты сотовых операторов — при современном ритме жизни мы используем эти приложения практически ежедневно. Из этого следует закономерный вывод - чем выше спрос на мобильные технологии, тем выше шанс утечки личных данных.
В совместном исследовании Ponemon Institute и IBM, проведённом в 2016 году, приняли участие 600 ИБ-специалистов из разных стран мира. 60% респондентов сообщили, что их организации были взломаны из-за небезопасных мобильных приложений за последний год. Исследование также показало, что менее 30% всех мобильных приложений тестируются на уязвимости [1].
Большинство недостатков связаны с ошибками в механизмах защиты (74% и 57% — для приложений на iOS и Android соответственно, 42% — для серверных частей). Такие уязвимости закладываются еще на этапе проектирования, а их устранение потребует внесения существенных изменений в код [2].
Виды мобильных приложений по особенностям их работы. Мобильные приложения делятся на 3 основные группы по особенностям работы:
1. Нативные приложения. Они разрабатываются для конкретной мобильной операционной системы, способны работать вне зависимости от подключения к Интернету, занимают мало памяти, работают быстро, при этом имеют высокую степень безопасности. Могут получить доступ к аппаратной части телефона по разрешению владельца.
2. Гибридные приложения. Такие программы имеют ограниченный доступ к аппаратным возможностям смартфона, им необходимо подключение к Интернету, так как они загружают информацию из стороннего источника, расположенного на удаленном сервере. Гибридные приложения кроссплатформенны, имеют доступ к функционалу смартфона.
3. Веб-приложения. Эти приложения представляют собой адаптацию сайтов для пользователей мобильных устройств. Они кроссплатформенны, не используют программное обеспечение смартфона, при этом требуют обязательный доступ к Интернету и имеют неудовлетворительный уровень безопасности [3].
Основные уязвимости и угрозы мобильных приложений. Компания В1.20КБ в своём исследовании, опубликованном в июне 2019, приводит статистику по разновидностям уязвимостей мобильных приложений (
Рис. 1) [4].
Хранение данных Аутентификация и управление сессиями Серверная часть Взаимодействие с платформой Сетевое взаимодействие Качество исходного кода и конфигурация сборки
Другое
21%
16%
5%
Рис. 1 Статистика по разновидностям уязвимостей мобильных приложений от В1.20КЕ
Таким образом, к основным уязвимостям мобильных приложений, на которых стоит заострить внимание, можно отнести следующие:
1. Небезопасное хранение конфиденциальной информации.
Мобильные операционные системы предоставляют системные интерфейсы для взаимодействия мобильных приложений с файловой системой. По умолчанию мобильные приложения имеют разрешения на чтение и запись данных в домашней директории [5]. Если к данным не применяются алгоритмы шифрования, доступ к ним может быть получен при наличии доступа к файловой системе устройства. Если конфиденциальные данные
пользователя содержатся в домашней директории программы, вполне возможна компрометация таких данных.
2. Небезопасная аутентификация веб-сервера
Интерфейсы классов мобильных приложений, используемых для соединения с сервером, предоставляют методы, способные изменить процесс проверки сертификата X.509 сервера во время инициализации защищенного соединения. Если приложение не осуществляет проверку этого сертификата сервера, хакер имеет возможность совершить перехват передаваемых данных, что приведет к потере конфиденциальности передаваемой информации.
3. Небезопасное использование возможностей межпроцессного взаимодействия
Мобильные приложения имеют возможность взаимодействовать друг с другом под
управлением ОС через интерфейсы межпроцессного взаимодействия. Например, мобильная платформа Android предоставляет возможность процессам отправлять и получать объекты типа android.content.Intent [5], используемых в контексте взаимодействия компонентов приложений. Если адресат подобных сообщений указан неверно, то передаваемая информация может быть скомпрометирована.
4. Использование незащищенных протоколов передачи информации.
При работе с сервисами, для которых предъявляются высокие требования безопасности, необходимо прибегнуть к использованию защищенных протоколов передачи данных для реализации межсетевых запросов. В противном случае можно выполнить атаку на канал связи, что приведет к потере конфиденциальности передаваемых данных, либо к другим атакам. Приложения нередко исполняют запросы к веб-серверу по незащищенному протоколу передачи данных HTTP, по которому передавались конфиденциальные данные пользователя.
5. Небезопасная конфигурация защищенного соединения
К потенциальным уязвимостям защищенных соединений следует отнести: использование устаревших протоколов; использование уязвимых протоколов обмена криптографическими ключами, слабых алгоритмов проверки целостности сообщений; использование небезопасного протокола повторного рукопожатия (Insecure renegotiation); использование алгоритмов сжатия; известные уязвимости пакетов реализации протокола SSL [5].
6. Небезопасное использование возможностей сети GSM
Мобильные приложения используют возможности сетей GSM для реализации различных операций. К таким потенциально небезопасным операциям следует отнести взаимодействие с непроверенными ресурсами и передачу конфиденциальных данных. Типовые атаки на сервисы, включают в себя атаки на SIM-карты, алгоритмы шифрования данных в сетях GSM, включая атаки на алгоритм A5/3, а также атаки на протокол аутентификации [5].
Анализ уязвимости мобильных приложений. Работы по анализу защищённости мобильных приложений делятся на несколько групп: выявление уязвимостей клиентской и серверной частей приложения; выявление возможностей для утечки данных; выявление превышения полномочий, необходимых для функционирования.
На сегодняшний день существует ряд сервисов, способных проанализировать степень безопасности используемых мобильных приложений. Для примера можно рассмотреть возможности двух из них:
1. SandDroid. Сервис проводит статический и динамический анализ, формирует полный отчет. Проверяется размер/хеш файла, версия SDK, сетевые данные, компоненты, закодированные свойства, уязвимый API, анализ IP, утечки данных, SMS, отслеживание телефонных звонков, поведение, представляющее угрозу, и вероятность угрозы [6].
2. Nviso APKSCAN — это еще один удобный сетевой инструмент для проверки приложения на наличие вредоносного кода. Проверяется активность диска, сетевой трафик,
возможность совершения телефонного звонка, отправки SMS, криптографическая активность, риски утечки данных, осуществляется поиск вирусов [7].
С каждым годом количество разрабатываемого вредоносного программного обеспечения для мобильных устройств все возрастает: каждый квартал выявляется от 1,5 до 2 млн. новых экземпляров [5]. Мобильные приложения довольно уязвимы для разного рода атак. Большая часть уязвимостей заложена еще на этапе проектирования. От разработчиков мобильных приложений требуется глобальный подход к разработке, они должны учитывать все обстоятельства, которые могут как-то повлиять на безопасность конечного продукта.
Библиографические ссылки
1. Positive Technologies. Статистика уязвимости финансовых приложений [Электронный ресурс]. URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Mobile-Application-Vulnerabilities-and-Threats-2019-rus.pdf (дата обращения: 05.03.2021).
2. Positive Technologies. Уязвимости и угрозы мобильных приложений, 2019 [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/research/analytics/mobile-application-security-threats-and-vulnerabilities-2019/ (дата обращения: 05.03.2021).
3. PunicApp. Типы мобильных приложений [Электронный ресурс]. URL: https://punicapp.com/blog/pages/1046/tipy-mobilnyh-prilozhenij (дата обращения: 06.03.2021).
4. Перспективный мониторинг. Анализ мобильных приложений [Электронный ресурс]. URL: https://amonitoring.ru/service/security-analysis/mobile-app/ (дата обращения: 10.03.2021).
5. Вопросы кибербезопасности. Исследование информационной защищенности мобильных приложений [Электронный ресурс]. URL: https://cyberrus.com/wp-content/uploads/2015/10/vkb_12_3.pdf (дата обращения 05.03.2021)
6. SandDroid [Электронный ресурс]. URL: http://sanddroid.xjtu.edu.cn/ (дата обращения: 20.03.2021).
7. NVISO [Электронный ресурс]. URL: https://apkscan.nviso.be/ (дата обращения: 20.03.2021).
© Демичев М.С., Файзулин Р.Ф., 2021
