CC BY
28СИСТЕМНЫЙ АНАЛИЗ, УПРАВЛЕНИЕ И ОБРАБОТКА ИНФОРМАЦИИ
УДК 004.001
СРАВНИТЕЛЬНЫЙ АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДИК ИССЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ
Статья поступила в редакцию 29.08.2022, в окончательном варианте - 29.08.2022.
Путято Михаил Михайлович, Кубанский государственный технологический университет, 350072, Российская Федерация, г. Краснодар, ул. Московская, 2,
кандидат технических наук, доцент, ORCID: 0000-0003-0414-6034, e-mail: putyato.m@gmail.com
Макарян Александр Самвелович, Кубанский государственный технологический университет, 350072, Российская Федерация, г. Краснодар, ул. Московская, 2,
кандидат технических наук, доцент, ORCID: 0000-0002-1801-6137, e-mail: msanya@yandex.ru Карманов Михаил Александрович, Кубанский государственный технологический университет, 350072, Российская Федерация, г. Краснодар, ул. Московская, 2,
аспирант, ORCID: 0000-0003-0953-8125, e-mail: michaelkdev15@gmail.com Немчинова Валерия Олеговна, Кубанский государственный технологический университет, 350072, Российская Федерация, г. Краснодар, ул. Московская, 2,
ассистент, ORCID: 0000-0002-4428-7128, e-mail: nemchinova.valeriya@yandex.ru
В настоящей статье представлен сравнительный анализ определенных методик исследования защищенности мобильных приложений. Был выбран ГОСТ Р ИСО/МЭК 18045-2013 - МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ и методика стандарта Open Web Application Security Project (OWASP) Mobile Application Security Verification Standard (MASVS), использующая в совокупности с техническим руководством тестирования безопасности в аспекте мобильных устройств (OWASP Mobile Security Testing Guide). В контексте работы с мобильными приложениями были отобраны целевые разделы у каждого из стандартов, были определены их сильные и слабые стороны. Был определен набор критериев для оценки методов и подходов к анализу защищенности мобильных приложений, который в будущем может быть расширен или дополнен. Для выбранных методов был выполнен сравнительный анализ по определенному набору критериев для случая, когда все критерии равнозначны и когда выделен некоторый набор более весомых - в случае использования данных стандартов именно при анализе мобильных приложений. В итоге были получены результаты, определяющие применение того или иного стандарта при различных случаях.
Ключевые слова: мобильные приложения, Android, iOS, пользовательская информация, критичная информация, защита данных, кибербезопасность
COMPARATIVE ANALYSIS OF EXISTING RESEARCH METHODS FOR MOBILE APPLICATIONS SECURITY
The article was received by the editorial board on 29.08.2022, in the final version — 29.08.2022.
PutyatoMikhailM., Kuban State Technological University, 2 Moskovskaya St., Krasnodar, 350072, Russian Federation,
Cand. Sci. (Engineering), Associate Professor, e-mail: putyato.m@gmail.com Makaryan Alexander S., Kuban State Technological University, 2 Moskovskaya St., Krasnodar, 350072, Russian Federation,
Cand. Sci. (Engineering), Associate Professor, e-mail: msanya@yandex.ru
Karmanov Mikhail A., Kuban State Technological University, 2 Moskovskaya St., Krasnodar, 350072, Russian Federation,
postgraduate student, ORCID: 0000-0003-0953-8125, e-mail: michaelkdev15@gmail.com Nemchinova Valeriya O., Kuban State Technological University, 2 Moskovskaya St., Krasnodar, 350072, Russian Federation,
Assistant, ORCID: 0000-0002-4428-7128, e-mail: nemchinova.valeriya@yandex.ru
This article provides a comparative analysis of certain methods for studying the security of mobile applications. ISO/IEC 18045-2013 (METHODS AND MEANS OF SAFETY. METHODOLOGY FOR ASSESSING THE SECURITY OF INFORMATION TECHNOLOGIES) standard and the methodology of the Open Web Application Security Project (OWASP) Mobile Application Security Verification Standard (MASVS) were chosen for, which is used with OWASP Mobile Security Testing Guide (MSTG). During mobile applications security analysis context, target sections
for each of the standards were selected, their pluses and weaknesses were identified. A set of criteria for evaluating methods and approaches to the analysis of the security of mobile applications was determined, which can be expanded or supplemented in the future. For the selected methods, a comparative analysis was carried out according to a certain set of criteria for the case when all criteria are equivalent and when a certain set of more significant ones was selected -in the case of using these standards in the analysis of mobile applications. As a result, results were obtained that determine the application of one or another standard in various cases.
Keywords: mobile apps, Android, iOS, personal data, data protection, critical information, cybersecurity
Graphical annotation (Графическая аннотация)
Введение. В процессе работы перед любым программным обеспечением встает задача обработки информации определенным образом. Алгоритмы работы приложения проектируются и реализуются людьми, что потенциально может привести к тем или иным ошибкам, которые могут стать причиной недочетов и уязвимостей безопасности программного продукта и обрабатываемой информации. Для оперативного устранения подобных недочетов необходимо обращаться к методикам и руководствам исследования защищенности и создания «безопасных» архитектур [1-3].
Описанное выше присуще, в том числе, мобильным приложениям, спроектированным и реализованным для работы на смартфонах, планшетах, умных часах и других мобильных устройствах. На сегодняшний день подобные мобильные устройства могут решить любые задачи благодаря устанавливаемым приложениям. Как следствие, каждое такое приложение оперирует определенным набором данных (пользовательских и данных правообладателя), которые подлежат защите [4].
Развитие информационных технологий способствовало тому, что в настоящее время мобильные устройства берут на себя задачи, для которых раньше требовалось наличие специализированного оборудования. Любой смартфон сегодня содержит множество персональных и корпоративных данных, стоимость которых значительно выше стоимости самого устройства. Поэтому проблема защиты данных мобильных устройств критически важна.
Цель и задачи. Целью данной работы является выделение эффективного подхода к анализу защищенности информации в контексте мобильного приложения.
При постановке цели данной работы были определены следующие задачи:
1) определить перечень существующих методик и подходов, применимых при анализе защищенности мобильных приложений;
2) определить сферы оценки защищенности мобильных приложений для выявленных методик и подходов;
3) определить перечень критериев для оценки методик и подходов и провести сравнительный анализ по данному перечню.
Существующие методы анализа защищенности информации. На момент 3 квартала 2021 года можно выделить различные методики анализа защищенности информации. Первым можно считать оценку профиля защиты по различным аспектам. Полный перечень доступен в стандарте ИСО/МЭК 18045-3-2013 [5]. Касательно анализа защищенности мобильных приложений можно выделить следующие классы:
- разработка архитектуры безопасности (ADV_ARC) [5]. Методы оценки из данного класса отвечают за оценку функциональных возможностей механизмов обеспечения безопасности определенного объекта на предмет невозможности вмешательства в них или обхода;
- разработка политики безопасности (ADV_SPM) [5]. Класс отражает набор требований к процессу проектирования политики безопасности;
- устранение недостатков (ALC_FLR) [5]. Класс, нацеленный, прежде всего, на разработчиков программного обеспечения, содержит инструменты для устранения недостатков объекта в процессе эксплуатация и сопровождения;
- безопасность разработки (ALC_DVS) [5]. Аналогично с классом «ALC_FLR», класс «ALC_DVS» ориентирован на разработчиков, содержит набор требований безопасности для среды разработки, которая должна обеспечивать конфиденциальность разрабатываемого объекта в ней, его целостность и должна обеспечивать возможность его реализации;
- тестирование (ATE) [5]. Данный класс содержит в себе обширный список критериев. В рамках настоящей работы выделены критерии покрытия полноты тестов (ATE_COV), глубины детализации при тестировании (ATE_DPT), а также критерии функционального (ATE_FUN) и независимого (ATE_IND) тестирования;
- оценка уязвимостей (AVA) [5]. Данный класс включает в себя набор методов по идентификации и анализу уязвимостей (подкласс AVA_VAN).
В стандарте предусмотрена градация оценочных уровней доверия (далее - ОУД) от 1 (минимально возможный уровень доверия к системе) до 7 (максимальный уровень), являющийся соотношением получаемого уровня доверия со стоимостью и возможностью достижения этой степени доверия. Так, ОУД1 означает продукт или систему, которая подвергалась базовой оценке, а ОУД7 подразумевает использования полного перечня компонентов доверия из ОУД [5].
Сравнение количества используемых компонентов из представленных выше классов в зависимости от ОУД представлено в таблице 1.
Таблица 1 - Сравнение количества используемых компонентов из представленных выше классов в зависимости от ОУД_
Класс Семейство доверия Компоненты доверия из оценочного у] эовня доверия
доверия ОУД1 ОУД2 ОУД3 ОУД4 ОУД5 ОУД6 ОУД7
Разработка
архитектуры безопасности 0 1 1 1 1 1 1
Разработка ADV ARC
Разработка политики безопасности 0 0 0 0 0 1 1
ADV SPM
Поддержка Устранение недостатков ALC FLR 0 0 0 0 0 0 0
Безопасность 0 0 1 1 1 2 2
разработки ALC DVS
Тесты покрытия
и критерии покрытия 0 1 2 2 2 3 3
полноты тестов
ATE COV
Глубина детализации
при тестировании ATE DPT 0 0 1 2 3 3 4
Тестирование Критерии функционального 0 1 1 1 1 2 2
тестирования ATE FUN
Критерии
независимого тестирования ATE IND 1 2 2 2 2 2 3
Оценка уязвимостей Анализ уязвимостей AVA VAN 1 2 2 3 4 5 5
В контексте мобильных приложений можно добавить, что для ОУД1 достаточно применить независимое тестирование и провести базовый анализ уязвимостей. Тогда как в приложении не будет четкой архитектуры и политики безопасности, не будут соблюдаться требования по безопасности разработки.
Стоит отметить, что, используя подход в данном стандарте, можно в полной мере оценивать лишь информационные системы. Оценивание программного обеспечения частных элементов как в составе подобных систем, так и в самостоятельном виде, является побочным свойством. Другим важным аспектом данного подхода является эфемерность шагов по оцениванию того или иного профиля защиты. «Легко идентифицируемые уязвимости» или оценивающее лицо «должно убедиться» и т.д. - все это примеры эфемерности подхода в угоду абстрагирования стандарта. Но, как итог, включается человеческий фактор, и каждый специалист в силу собственного опыта, знаний и прочих характеристик может получать разные результаты.
Как пример, специалист обладает навыками тестировщика, и данное им заключение по классу тестирования можно расценивать как гарант, но в силу определенных обстоятельств он же производил оценку уязвимостей, где для него «легко идентифицируемые уязвимости» объективно могут не являться таковыми.
Анализ других нормативных и законодательных документов России в области защиты конфиденциальной информации и вопросов защиты информации показал, что в настоящее время методических рекомендаций по защите информации в разрезе мобильных устройств найдено не было.
Другая методика - это неофициальный стандарт проверки защищенности мобильного приложения (OWASP Mobile Application Security Verification Standard) (далее - стандарт OWASP MASVS) [6]. Данный стандарт используется в совокупности с техническим руководством тестирования безопасности в аспекте мобильных устройств (OWASP Mobile Security Testing Guide) (далее - OWASP MSTG) [7], которое помимо технических реализаций требований стандарта содержит информацию по развертыванию тестировочных платформ для операционных систем Android и iOS, и т.н. «чек-листом» безопасности мобильного приложения [8]. По сравнению с приведенным выше стандартом, данное решение имеет четко определенные алгоритмы исследования и критериев оценки защищенности программного обеспечения.
Согласно содержанию стандарта, любой оцениваемый объект рассматривается исходя из целевого уровня защиты, которых представлено 3 вида:
- уровень 1 - минимальный уровень требований к механизмам защиты для любого мобильного приложения. Ориентирован на противодействие легко реализуемым уязвимостям и нарушителю с низким уровнем подготовки;
- уровень 2 - стандартный уровень, который должен применяться к приложениям, которые оперируют критичной информацией. Ориентирован на противодействие подготовленному нарушителю и перечню активно используемого программного обеспечения для поиска уязвимостей в приложениях;
- уровень 3 - продвинутый или высший уровень, применим в военных, медицинских целях, в условиях нахождения в критической инфраструктуре.
В контексте настоящей работы внимание акцентируется на следующих требованиях стандарта:
- требования к архитектуре, дизайну и модели угроз (MSTG-ARCH). Данные требования предписывают в зависимости от выбранного уровня безопасности идентифицировать все компоненты приложения, составить список возможных проверок как завершенного продукта, так и проекта в стадии создания, определить перечень «чувствительных данных». На этапе проектирования должны быть учтены положения по защите данных в приложении в соответствии с регламентирующими положениями, документами и законами стран, в которых приложение будет использоваться;
- требования к конфиденциальности и хранению данных (MSTG-STORAGE). Данные требования предписывают для идентифицированных «чувствительных» данных хранение в защищенных областях устройства и приложения, разграничение доступа к этим данным, особенности отображения в пользовательском интерфейсе при различных состояниях приложения и устройства, минимальные настройки безопасности устройства для работы приложения;
- требования для функций криптографических провайдеров (MSTG-CRYPTO). Здесь можно выделить как явные указания не хранить симметричные ключи шифрования в ходе в каком бы то ни было виде или не использовать устаревшие или непроверенные реализации криптографических алгоритмов, так и оценка целесообразности использования того или иного криптографического алгоритма в определенной функции работы приложения;
- все требования касательно аутентификации (хранение учетных данных, их резервирование, жизненный цикл, верификаторы учетных данных и другие) и управления сессиями (MSTG-AUTH). Требования применимы в случае наличия в мобильном приложении взаимодействия с серверной частью и наличием учетных записей;
- требования для сетевого взаимодействия (MSTG-NETWORK);
- набор условий при взаимодействии с операционной системой устройства (MSTG-PLATFORM). Общими для операционных систем Android и iOS можно выделить минимально необходимый перечень разрешений, минимизация использования WebView и применения в нем Javascript;
- требования к сборке приложения (MSTG-CODE) - перечень настроек и рекомендаций при создании релизной версии приложения;
- триггеры устойчивости к атакам на стороне клиента (MSTG-RESILIENCE). Сюда включены проверки на наличие root/jailbreak, антиотладочные техники, проверка валидности установочного пакета приложения в качестве мер противодействия динамическому анализу и фальсификациям, а также обфускация исходного кода для противодействия реверс-инжиниринга приложения.
В совокупности с этими абстрактными требованиями можно обратиться уже к техническому руководству: оно включает в себя прикладные сценарии проверки того или иного признака требования, предъявляемого к мобильным приложениям, приведенного в основном стандарте для получения
конкретных действий для соответствия тому или иному требованию стандарта. Так, для представленного выше списка требований можно определить перечень механизмов защиты и необходимых действий. К примеру, одна из подзадач защиты учетных данных в мобильном приложении для различных уровней защиты и платформ операционных систем реализуется по-разному:
- для первого уровня в случае отсутствия в приложении критичных данных допускается хранение учетных данных в открытом виде в конфигурационного xml-файла, т.н. shared preferences, для операционной системы Android, для iOS - в общем хранилище параметров, т.н. User Default, или конфигурационном файле формата Property List (plist);
- для второго уровня в операционной системе Android допускается хранение данных в открытом виде в защищенном хранилище Android KeyStore или с использованием криптографических средств в конфигурационном xml-файле, для iOS - хранение в связке ключей Keychain в открытом виде, а также в конфигурационном файле, но уже в зашифрованном виде;
- для третьего уровня четкие требования отсутствуют - есть лишь замечание, что используемые меры защиты должны быть сопоставимы, как минимум, со вторым уровнем защиты.
В качестве примера полного цикла использования методики можно рассмотреть подзадачу по защите учетных данных. Из «чек-листа», например, взят критерий недопустимости записи в журналы работы приложения критичных данных. Стандарт MASVS будет давать более конкретизированные требования критериев - отсутствие подобных записей только в релизной сборке приложения или вообще во всех. А в MSTG уже можно найти способы решения данной задачи - поиск классов «логгирования», поиск в исходном коде обращений вывода данных в консоль в зависимости от целевой платформы. Графическое представление особенностей работы с данной методикой на примере критерия недопустимости записи в журналы работы приложения критичных данных представлено на рисунке 1.
Чек-лист
Отсутствие критичных данных в логах приложения
OWASP Mobile Security OWASP Mobile Application Security
Testing Guide (MSTG) Verification Standart (MASVS)
Поиск совпадений: Отсутствие логов в релизной версии
- "1_одг,-классы приложения
- system.out/system.err.print -print
Рисунок 1 - Графическое представление особенностей работы с данной методикой на примере критерия недопустимости записи в журналы работы приложения критичных данных
Стоит отметить, что был приведен пример с неполным перечнем альтернатив, который гораздо больше и может не ограничиваться штатными методами мобильных операционных систем.
Имея требования и способы соответствия им в виде реализаций, оценивающее лицо с помощью всех документов может вынести вердикт касательно защищенности программного продукта.
При использовании подхода данного стандарта стоит учитывать некоторые моменты:
- проведение проверок сопряжено с человеческим фактором, хоть и в меньшей степени;
- стандарт не является государственным, и его возможное использование является добровольным решением;
- несмотря на то, что данный набор документации разработан исключительно для мобильных приложений, требования из них могут применяться и к другим платформам.
Набор критериев для оценки методов и подходов к анализу защищенности мобильных приложений. Для сравнения двух представленных выше методик обеспечения защиты будет использован набор критериев, каждый из которых имеет определенные возможные значения [9]. Набор критериев сравнения методик анализа защищенности приложений приведен в таблице 2.
Таблица 2 - Набор критериев сравнения методик анализа защищенности приложений
Наименование критерия Возможные значения критериев Описание значений критериев
Официальность стандарта Официальный Документ утвержден в виде стандарта для хотя бы 1 государства и может являться обязательным для соответствия.
Нео фициальный Не выполняются условия для статуса «официальный».
Доступность стандарта В открытом доступе Ознакомиться со стандартом и дополнительной документацией по нему можно на бесплатной основе и любому человеку.
Предо ставляется на платной основе Получение доступа к стандарту и дополнительной документации по нему происходит на платной основе, причем ограничением здесь может выступать статус лица (физическое или юридическое лицо).
Закрытый доступ Получение доступа к стандарту и дополнительной документации по нему ограничено. Для ознакомления с ним необходимо пройти определенные процедуры. Примером могут быть различные виды информации ограниченного распространения (государственная, коммерческая тайна и т. д.).
Применимость стандарта [9, 10] Узкоспециализированный Стандарт используется в определенной области применения. Применение в других сферах сопряжено с неактуальностью информации в стандарте в относительном размере более 50 %.
Условно универсальный Стандарт предназначен для определенной области и может использоваться для смежных областей. Применение в других сферах сопряжено с неактуальностью информации в стандарте в относительном размере не менее 15 % и не более 50 %.
Универсальный Стандарт изначально разрабатывался под применение в различных областях. Применение в разных сферах допускает неактуальность информации в относительном размере не более 15 %.
Покрытие информацией (актуальность) Низкое Актуальность сведений менее 50 %. Признак того, что документ является устаревшим или скоро станет таковым.
Среднее Актуальность сведений более 50 %. Связана с невозможностью применения неактуальных сведений как ввиду их устаревания, так и по прочим причинам
Высокое Актуальность сведений более 90 %. Признак того, что стандарт новый или относительно недавно обновлялся.
Наличие дополнительной документации [8] Отсутствует Стандарт представлен в виде единого документа без дополнительной информации по нему.
Присутствует Вместе со стандартом идет различная сопутствующая документация, раскрывающая те или иные аспекты в более полной мере. Это может быть справочная информация, примеры применения, техническая документация и т.д.
Подверженность человеческому фактору при использовании Отсутствует Человеческого фактора при проведении оценки нет, иначе говоря, процедура работает в автоматическом режиме.
Низкая Человек присутствует в процессе как контроллер.
Средняя Человеческий фактор заключается в следовании четкой инструкции. Повышенные требования к подготовке в определенной области знаний отсутствуют.
Высокая Человеческий фактор заключается в следовании инструкции с абстрактными теоретическими шагами. К человеку предъявляются повышенные требования к подготовке в той или иной области знаний.
Периодичность обновлений Неопределенная Стандарт и документация по нему обновляется без привязки к временным промежуткам.
Раз в 5 лет Стандарт и документация по нему обновляется примерно раз в 5 лет.
Ежегодная Стандарт и документация по нему обновляется примерно ежегодно.
Ежесезонная Стандарт и документация по нему обновляется примерно раз в 3 месяца.
Продолжение таблицы 2
Возможность привлечения внешних участников Отсутствует Разработку и поддержку стандарта ведут только внутренние участники. Все остальные имеют лишь доступ для ознакомления с дистрибьюторскими версиями.
Внешние контрибьюторы с урезанными правами, по сравнению с внутренними участниками Разработку и поддержку стандарта ведут внутренние участники. Внешние участники могут повлиять на нее лишь косвенно: опросы, доступные версии стандартов на этапе разработки и поддержки.
Внешние участники с полными правами Разработку и поддержку стандарта ведут внутренние участники совместно с внешними, причем вторые на любое изменение будут проходить премодерацию
Сравнительный анализ методик оценки защищенности. Сравнительный анализ приведенных выше методик оценки защищенности по определенному перечню критериев представлен в таблице 3.
Таблица 3 - Сравнительный анализ методик оценки защищенности
Наименование критерия Показатель критерия для стандарта ИСО/МЭК 18045-3-2013 Показатель критерия для стандарта OWASP MASVS Примечание
Официальность стандарта Официальный Нео фициальный Стандарт OWASP MASVS опирается на американские государственные стандарты NIST SP 800-57, NIST SP 800-63B, NIST FIPS PUB186, NIST P-384, а также рекомендации NIST [5, 6]
Доступность стандарта В открытом доступе В открытом доступе
Применимость стандарта Условно-универсальный Условно-универсальный
Покрытие информацией (актуальность) Среднее Высокое
Наличие дополнительной документации Отсутствует Присутствует
Подверженность человеческому фактору при использовании Высокая Средняя
Периодичность обновлений Неопределенная Ежесезонно Стандарт OWASP MASVS обновляется по факту чаще и доступен в виде черновых версий стандарта
Возможность привлечения внешних участников Отсутствует Внешние участники с полными правами
Если рассматривать все критерии как равнозначные, то можно сделать вывод, что оба стандарта являются относительно идентичными, со своими плюсами и минусами. Однако, имея вводную задачу в виде анализа защищенности именно мобильных приложений, появления недочетов и уязвимостей в безопасности продуктов при этапах проектирования, реализации и оставшихся без внимания на этапе тестирования и внедрения, можно выделить следующие приоритетные критерии:
- актуальность стандарта, так как мобильные устройства в настоящее время стремительно развиваются и обновляются технологически, что требует частое обновление стандартов;
- покрытие информацией (актуальность);
- наличие дополнительной документации касательно применения стандарта или метода;
- подверженность человеческому фактору при использовании.
Таким образом, относительно универсальный стандарт ИСО/МЭК 18045-3-2013 проигрывает более узкоспециализированному, содержащему дополнительную справочную информацию стандарту OWASP MASVS в случае анализа защищенности мобильных приложений.
Стоит отметить, что для представленных и проанализированных методик качественным скачком вперед было бы добавление алгоритмов анализа защищенности, адаптированных для реализации их в виде программных решений. Таким образом, можно будет нивелировать воздействие человеческого фактора на весь процесс анализа. Кроме того, в программном решении можно реализовать подсистемы обеспечения актуальности контрольных критериев как в виде обращений в общий репозиторий с информацией, так и в виде автономной системы с определенным алгоритмом работы [11]. Также такое решение может работать в совокупности. Как итог, полученное решение может выступать в качестве структурной единицы комплекса решений обеспечения ИБ [12].
Заключение. В работе рассмотрены определенные стандарты и методы, которые могут быть использованы при анализе защищенности мобильных приложений. Для проведения сравнительного анализа был определен набор критериев для оценки. Данный набор в будущем может быть расширен или дополнен. В процессе оценки было установлено, что при равнозначном весе критериев оба рассматриваемых стандарта являются идентичными с точки зрения плюсов и минусов применения. Однако при выделении некоторых критериев для оценки именно мобильных приложений как более приоритетных неофициальный стандарт OWASP MASVS со всеми его дополнениями является более предпочтительным для использования.
Библиографический список
1. Георгиевских, Н. В. Создание безопасных мобильных приложений / Н. В. Георгиевских // Аллея науки. - 2018. - Т. 22, № 6. - С. 985-988.
2. Сафин, Л. Л. Исследование информационной защищенности мобильных приложений / Л. Л. Сафин, А. В. Чернов, Я. А. Александров, К. Н. Трошина // Вопросы кибербезопасности. - 2015. - Т. 12, № 4. - С. 28-37.
3. Путято, М. М. Исследование возможности совершенствования кибербезопасности инфраструктуры интернета вещей на основе интеграции биометрических методов аутентификации / М. М. Путято, А. С. Мака-рян // Информационные системы и технологии в моделировании и управлении : сборник трудов V Международной научно-практической конференции. - 2020. - С. 267-270.
4. Карондеев, А. М. Исследование защищенности пользовательских данных мобильных приложений на примере мессенджера Whatsapp / А. М. Карондеев, Д. В. Клюев // Современная наука: актуальные проблемы теории и практики. - 2019. - № 7. - С. 88-93.
5. ГОСТ Р ИСО/МЭК 18045-2013 - Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. - Режим доступа: https://docs.cntd.ru/document/1200105309, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 19.08.2021).
6. Schleier, S. OWASP Mobile Application Security Verification Standard, Mobile application security check guide standard / S. Schleier, J. Willemsen, C. Holguera. - 2020. - 49 p.
7. Mueller, B. OWASP Mobile Security Testing Guide / B. Mueller, S. Schleier, J. Willemsen. - 2020. - 536 p.
8. Releases - OWASP/owasp-mstg - Github: Intermediate update 1.1.3. - Режим доступа: https://github.com/OWASP/owasp-mstg/releases/download71. 1.3-excel/Mobile_App_Security_Checklist-English_1. 1.2.xlsx, свободный. - Заглавие с экрана. - Яз. англ. (дата обращения 22.08.21).
9. Nagarjun, P. Review of Mobile Security Problems and Defensive Methods / P. Nagarjun, S. S. Ahamad // International Journal of Applied Engineering Research. - 2018 - Vol. 13. - P. 10256-10259.
10. Курносов, К. В. Методика оценки безопасности информационных систем, построенных с использованием технологий виртуализации / К. В. Курносов // Доклады ТУСУР. - 2019. - Т. 22, № 1. - С. 37-44.
11. Симбирцев, Д. В. Разработка автоматизированной системы анализа защищенности веб-ресурсов / Д. В. Симбирцев, В. Г. Жуков // Актуальные проблемы авиации и космонавтики. - 2011. - Т. 1, № 7. - С. 430-431.
12. Макарян, А. С. Анализ практической реализации механизмов выявления кибератак в SIEM-системе SPLUNK / А. С. Макарян, М. М.Путято, А. Р. Очередько // Информационные системы и технологии в моделировании и управлении : сборник трудов V Международной научно-практической конферренции. - 2020. - С. 252-256.
References
1. Georgievskikh, N. V. Sozdanie bezopasnyh mobilnykh prilozheniy [Secure mobile applications development]. Alleya nauki [Alley of Science], 2018, no. 6 (22), pp. 985-988.
2. Safin, L. L., Chernov, A. V., Alexandrov, Ya. A., Troshina, K. N. Issledovanie informatsionnoy zashchishchennosti mobilnykh prilozheniy [A study of mobile application security]. Voprosy kiberbezopasnosti [Cybersecurity Questions], 2015, no. 4 (12), pp. 28-37.
3. Putyato, M. M., Makaryan, A. S. Issledovanie vozmozhnosti sovershenstvovaniya kiberbezopasnosti infrastruktury interneta veshchey na osnove integratsii biometricheskikh metodov autentifikatsii [Research possibilities for improvement cyber security internet infrastructure of things on basis for integration of biometric methods authentications]. Informatsionnye sistemy i tekhnologii v modelirovanii i upravlenii: sbornik trudov V Mezhdunarodnoy nauchno-prakticheskoy konferentsii [Information systems and technologies in modeling and management : Proceedings of the V International Scientific and Practical Conference], 2020, pp. 267-270.
4. Karaondeev, A. M., Kluev, D. V. Issledovanie zashchishchennosti polzovatelskikh dannykh mobilnykh prilozheniy na primere messendzhera Whatsapp [A study of mobile application user data security on the example of Whatsapp messenger]. Sovremennaya nauka: aktualnyeproblemy teorii ipraktiki [Modern Science: Actual Problems of Theory and Practice], 2019, no. 7, pp. 88-93.
5. ISO/IEC 18045-2013 - Metody i sredstva obespecheniya bezopasnosti. Metodologiya otsenki bezopasnosti informatsionnykh tekhnologiy [Methods and means of safety. Methodology for assessing the security of information technologies]. Available at: https://docs.cntd.ru/document/1200105309 (accessed 19.08.2021).
6. Schleier, S., Willemsen, J., Holguera, C. OWASP Mobile Application Security Verification Standard, Mobile application security check guide standard, 2020. 49 p.
7. Mueller, B., Schleier, S., Willemsen, J. OWASP Mobile Security Testing Guide, 2020. 536 p.
8. Releases - OWASP/owasp-mstg - Github: Intermediate update 1.1.3. Available at: https://github.com/OWASP /owasp-mstg/releases/download/1.1.3-excel/Mobile_App_Security_Checklist-English_1.1.2.xlsx (accessed 22.08.2021).
9. Nagaijun, P., Ahamad, S. S. Review of Mobile Security Problems and Defensive Methods. International Journal of Applied Engineering Research, 2018, no. 13, pp. 10256-10259.
10. Kurnosov, K. V. Metodika otsenki bezopasnosti informatsionnykh sistem, postroennykh s ispolzovaniem tekhnologiy virtualizatsii [Methodology for assessing the security of information systems built using virtualization technologies]. Doklady TUSUR [Proceedings of TUSUR University], 2019, no. 1 (22), pp. 37-44.
11. Simbirtsev, D. V., Jukov, V. G. Razrabotka avtomatizirovannoy sistemy analiza zashchishchennosti veb-resursov [Web resource automated security analysis system development]. Aktualnye problemy aviatsii i kosmonavtiki [Actual Problems of Aviation and Cosmonautics], 2011, no. 7 (1), pp. 430-431.
12. Makaryan, A. S., Putyato, M. M., Ocheredko, A. R. Analiz prakticheskoy realizatsii mekhanizmov vyyavleniya kiberatak v SIEM-sisteme SPLUNK [Analysis of the practical implementation of mechanisms for detecting cyber attacks in the SPLUNK SIEM system]. Informatsionnye sistemy i tekhnologii v modelirovanii i upravlenii : sbornik trudov V Mezhdunarodnoy nauchno-prakticheskoy konferentsii [Information systems and technologies in modeling and management], 2020, pp. 252-256.
