Подборка материалов по мобильной безопасности «awesome mobile security»

А то мы не знали?

Бесплатный сыр известно где, поэтому все бесплатные удобные приложения кормятся нашими данными и нашим временем на рекламу. Чем больше данных о нас известно, тем более точно можно подобрать рекламу. А ещё можно взять с пользователя деньги за то, чтобы эту рекламу не показывать. Но его данные всё равно собирать.

К такому бартеру мы уже давно привыкли и согласились … по умолчанию.

Есть менее очевидные проблемы, когда данные могут собираться «на продажу». Например, на части китайских смартфонов встроенный медиаплеер не даёт просмотреть видео без разрешения доступа к журналу звонков и сообщений. ИБэшники такие приложения называют grayware.  Такие приложения ещё не вредоносные, но потенциально небезопасные, потому что ставят ваши данные под угрозу.

В случае с корпоративными устройствами ситуация осложняется тем, что в даркнете кроме домашнего видео могут оказаться и секреты родной компании.

Преимущества безопасности мобильных приложений

Мобильные приложения генерируют огромное количество данных о нас и нашей жизни. Поэтому обеспечение безопасности приложений для создания и использования этой информации имеет первостепенное значение. В противном случае небезопасные приложения — простой путь для злонамеренного акта кражи и продажи вашей личной информации.
Кроме того, существуют другие мобильные решения, которые могут принести значительные выгоды.

  • Подтверждение личности Подтверждение личности помогает предотвратить кражу злоумышленником личных данных пользователей и регистрацию учетных записей под их именем. Надежный процесс проверки личности подтверждает, что пользователь является тем, кем он является, и помогает предотвратить мошенничество злоумышленником.
  • Надежная аутентификация Захват учетной записи — распространенная проблема, и пароли быстро устаревают. Из-за большого количества утечек данных за последние десять лет многие комбинации имени пользователя и пароля уже доступны для продажи в Dark Web. Надежные методы аутентификации гарантируют, что только законные пользователи получают доступ к своим учетным записям, а злоумышленники не могут войти в систему в гнусных целях.
  • Биометрия Биометрия — это безопасный и удобный способ входа в мобильные приложения, используя данные, полученные от вашего собственного тела. Нет надежного способа определить, кто вводит пароль. Разработчик приложения может только определить, соответствует ли введенный пароль ключу пароля в серверной части системы. Биометрия включает дополнительный индикатор доверия, поскольку он подтверждает личность человека, предлагающего биометрический образец для проверки. Потому что отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза отображаются в реальном времени и подключаются к пользователю в реальном времени.
     

Основные результаты исследования

Подтвердилась тенденция, отмеченная экспертами в традиционных ежегодных отчетах в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточного внимания вопросам безопасности приложений, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. Оказалось, что все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.

Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к ХХЕ-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.

SymbianOS

Несмотря на недавний переход Nokia в объятия WP7, Symbian все еще превалирует на рынке мобильных ОС. Приложения для Nokia распространяются в виде sis-пакетов с цифровой подписью разработчика. Подпись самодельным сертификатом возможна, однако это накладывает ограничения на возможности ПО. Таким образом, сама система хорошо защищена от возможной малвари. Java-апплеты и sis-приложения спрашивают у пользователя подтверждение на выполнение тех или иных действий (выход в сеть, отправка смс), однако, как ты понимаешь, злоумышленника это останавливает не всегда – многие пользователи склонны соглашаться со всеми выдвинутыми ОС предложениями, не особенно вчитываясь в их суть.

Симбиан также содержит средства для шифрования карт памяти, возможно использование блокировки со стойкими паролями, поддерживаются Exchange ActiveSync (EAS) policies, позволяющие удаленное уничтожение данных на устройстве. Существует множество решений защиты информации, представленных ведущими производителями (Symantec Mobile Security for Symbian, Kaspersky Endpoint Security for Smartphone, ESET NOD32 Mobile Security), которые по функционалу близки к Windows Mobile версиям.

Несмотря на все перечисленное, существует ряд способов получения полного доступа с подменой файла «installserver», осуществляющего проверку подписей и разрешений устанавливаемого ПО. Как правило, пользователи применяют это для установки взломанного ПО, которое, естественно, теряет подпись после взлома. В таком случае неплохая в целом система защиты ОС может быть скомпрометирована. Прошивки для своих устройств Nokia выпускает регулярно, особенно для новинок. Средний срок жизни аппарата 2-2,5 года, в этот период можно ожидать исцеления детских болезней аппаратов и исправления критических уязвимостей.

AndroidOS

Молодая на рынке мобильных устройств система, детище Google, стремительно завоевала рынок. Начиная с версии 1.6 в ней поддерживается протокол Exchange Activesync, что делает устройства с данной ОС интересными для корпоративного сегмента. Политики EAS (впрочем, далеко не все) также поддерживаются. Шифрование карт памяти средствами ОС не предусмотрено. Существует ряд корпоративных решений для защиты (McAfee WaveSecure, Trend Micro Mobile Security for Android, Dr.Web для Android, заявлены решения от Kaspersky). Приложения распространяются через Android Market, однако ничто не мешает устанавливать их и из других источников. Вредоносное ПО для Android существует, однако при установке ОС показывает все действия, которые требуются для устанавливаемой программы, поэтому в данном случае все зависит напрямую от пользователя (впрочем, указан ные при установке предупреждения все равно никто не читает, большинство вполне легальных программ из Маркета выдают кучу ворнингов на доступ ко всем мыслимым местам системы – прим. ред.).

ОС имеет защиту от модификации, но, как и для Symbian и iOS, возможно получение полного доступа к системе, здесь это называется root. После получения root возможна запись в системные области и даже подмена системных приложений. Обновление прошивок и повышение версий ОС, исправление ошибок и уязвимостей происходит регулярно на большинстве устройств.

Подводя промежуточный итог, можно сказать, что современные мобильные ОС обладают неплохими средствами защиты — как встроенными, так и представленными на рынке. Основными проблемами являются несвоевременность или невозможность получения обновлений, обход защиты самим пользователем, отсутствие корпоративной политики безопасности для мобильных устройств. Из-за различия ОС и их версий не существует единого корпоративного решения, которое можно было бы посоветовать. Но рассмотрим, какие шаги необходимо предпринять для защиты устройств и что учесть при создании политик ИБ.

1. Блокировка устройства.

Представь, что твой смартфон попал в руки к постороннему человеку. Для большинства пользователей это означает, что некто получит доступ сразу ко всему. Необходимо блокировать устройство паролем (стойким или с ограниченным количеством попыток ввода), после которых данные на устройстве затираются или устройство блокируется.

2. Использование криптографических средств.

Необходимо использовать шифрование съемных носителей, карт памяти – всего, к чему может получить доступ злоумышленник.

3. Запрет на сохранение паролей в браузере мобильного устройства.

Нельзя сохранять пароли в менеджерах паролей браузеров, даже мобильных. Желательно установить ограничение на доступ к переписке почтовой и смс, использовать шифрование.

4. Запрет использования менеджеров паролей для корпоративных учетных записей.

Существует множество приложений, созданных для хранения всех паролей на мобильном устройстве. Доступ к приложению осуществляется вводом мастер-ключа. Если он недостаточно стоек, вся парольная политика организации компрометируется.

5. Запрет на установку ПО из непроверенных источников, осуществление «взломов» ОС.

К несчастью, средства для принудительного запрета есть только для Windows Mobile устройств, в остальных случаях придется доверять пользователю на слово. Желательно использовать ПО от крупных, известных разработчиков.

6. Использование политик Exchange ActiveSync и средств антивирусной и прочей защиты.

Если это возможно, позволит избежать множества угроз (в том числе новых), а в случае потери или кражи устройства осуществить его блокировку и уничтожение данных на нем.

7. В случае предоставления доступа в доверенную зону осуществлять тщательный контроль.

Для пользователей, обладающих доступом к доверенной зоне (внутренней сети по VPN, средствами удаленного администрирования), необходимо еще более тщательно следить за выполнением вышеизложенных правил (рекомендовать им использовать IPSEC, не хранить аутентификационные данные в приложениях). В случае компрометации устройства возможна угроза для всей внутренней/ доверенной зоны, что недопустимо.

8. Ограничить список данных, которые можно передавать облачным сервисам.

Современные мобильные устройства и приложения ориентированы на использование множества облачных сервисов. Необходимо следить, чтобы конфиденциальные данные и данные, относящиеся к коммерческой тайне, не были случайно синхронизированы или отправлены в один из таких сервисов.

Мобильный банкинг

Представь, что твой сотрудник использует на своем мобильном устройстве систему ДБО — современные браузеры вполне позволяют осуществлять подобный вид деятельности, и это же мобильное устройство привязано к банку для получения sms-паролей и оповещений. Несложно догадаться, что вся система ДБО может быть скомпрометирована потерей одного устройства.

Основными путями компрометации информации с мобильных устройств является их пропажа или хищение. Сообщения о громадных финансовых потерях организаций из-за пропажи ноутбуков мы получаем регулярно, однако потеря бухгалтерского планшета с актуальной финансовой информацией тоже может доставить множество хлопот. Вредоносное ПО для смартфонов и планшетов в настоящее время скорее страшный миф и средство маркетинга, однако не следует терять бдительность, ибо этот рынок развивается бешеными темпами. Рассмотрим, какие существуют и как реализованы средства защиты в современных мобильных ОС.

Эпилог

Потребители сверхзащищённых смартфонов – это либо корпоративные ТОПы, либо бывшие или будущие подписчики сети EncroChat.

Им нужны устройства, которые можно считать доверенными, начиная от чехла и заканчивая прикладным софтом. Они готовы при этом жертвовать удобством и ограниченностью сервисов. Но даже в самых важных министерствах и ведомствах таких потребителей единицы, редко десятки.

При этом какой бы защищённый ни был смартфон, на секретное совещание с ним всё равно не впустят.

Тем не менее, всё громче призывы о повсеместном переходе на что-то суверенное и защищённое. Чем это чревато?

Сотрудники тех компаний, где перегибают с безопасностью, рано или поздно начинают «втихую» использовать личные смартфоны, потому что с их помощью достигнуть KPI проще и быстрее, а иногда это вообще единственный возможный путь. В результате корпоративные данные оседают в публичных мессенджерах, личных почтовых ящиках, файлообменниках и т.д.

Чем больше затягивают гайки с безопасностью, тем более громоздкие рабочие инструменты приходится использовать, и тем толще «теневой» слой корпоративных данных. Его принято не замечать, но эта «игра в переводного дурака» сопряжена с фантастическими потерями.

Идеального решения не существует. Поэтому выбирая security-смартфон, вам необходимо сформулировать — с какими угрозами готовы согласиться, а с какими — нет. С отсутствием каких сервисов вы готовы согласиться, а с отсутствием каких — нет.

Не договорившись с собой, вы рискуете пожалеть впоследствии о своем выборе.

Помочь в выборе всегда готовы, пишите нам на [email protected].

Важность безопасности мобильных приложений

Разработчики понимают важность безопасности мобильных приложений, но не все понимают это

Помимо роста скорости мобильное мошенничество , есть несколько других причин, по которым финансовые учреждения должны серьезно относиться к безопасности мобильных приложений и взять на себя обязательство разработать комплексную стратегию.
Потребители должны с осторожностью относиться к информации, которую они раскрывают, и к данным, которые они загружают при работе в Интернете, но бизнес-профессионалы также должны проявлять бдительность. Мобильные устройства почти всегда включены, всегда рядом с вами и хранят огромное количество личной информации, а также конфиденциальных данных и документов

Это может сделать их настоящей находкой для злоумышленников.
Мобильные приложения могут быть самонадеянными в запрашиваемых разрешениях. Почему, например, погодному приложению может потребоваться доступ к вашей камере или микрофону? И может ли злоумышленник найти в этом приложении уязвимость, которая предоставляет ему доступ к камере или микрофону для проведения промышленного шпионажа?
 

Мобильные устройства почти всегда включены, всегда рядом с вами и хранят огромное количество личной информации, а также конфиденциальных данных и документов. Это может сделать их настоящей находкой для злоумышленников.
Мобильные приложения могут быть самонадеянными в запрашиваемых разрешениях. Почему, например, погодному приложению может потребоваться доступ к вашей камере или микрофону? И может ли злоумышленник найти в этом приложении уязвимость, которая предоставляет ему доступ к камере или микрофону для проведения промышленного шпионажа?
 

Угрозы безопасности мобильных приложений

Мобильные приложения, связанные с бизнес-брендами, часто становятся целью мошенников, которые либо используют своих клиентов, детей своих клиентов, либо атакуют сам бизнес. Если атаковать мобильное вредоносное ПО нацелено на устройство пользователя, последствия могут включать:

  • Подмена номера счета
  • Украденные учетные данные для входа
  • Украденные и перепроданные данные кредитной карты
  • Несанкционированный доступ к бизнес-сетям
  • Кража личных данных
  • Устройство iOS или Android может распространять вредоносное ПО на другие устройства.
  • SMS-сообщения можно копировать и сканировать на предмет личной информации

Альтернатива есть?!

В исследованиях Data Bridge Market Research (DBMR) «Анализ рынка и инсайты: Глобальный ультра-безопасный рынок смартфонов» сделан прогноз, что к 2027 году объем рынка security-смартфонов достигнет 5 967,30 млн. долларов США, что свидетельствует о росте рынка на 19,80% в прогнозном периоде (2020-2027 гг.). Также определены способствующие и сдерживающие факторы:

«Растущая склонность заказчиков к использованию защищенных смартфонов, увеличение числа приложений из военной и коммерческой сферы, внедрение более высоких стандартов безопасности и надежной передачи данных — вот некоторые из факторов, которые будут способствовать росту рынка защищенных смартфонов в прогнозируемый период 2020-2027 гг.

Рост цен на продукты и потребность в совместимых телефонах являются сдерживающими факторами на рынке защищенных смартфонов в вышеуказанный прогнозируемый период».

Что доступно на рынке сегодня?

Смартфон работает под управлением PureOS на базе Linux, поставляется с предустановленным бесплатным программным обеспечением с открытым исходным кодом. В результате нет доступа к Google Play или другим основным магазинам приложений.

Веб-браузер по умолчанию представляет собой модифицированную версию Firefox с DuckDuckGo в качестве поисковой системы.  Стоимость — 799$, за которые мечтатели из Purism еще взяли на себя обязательство постоянно обновлять Librem 5!

Смартфон оснащен аппаратными выключателями камеры, микрофона, питания адаптеров Wi-Fi, Bluetooth, GPS. Удалённо управлять этими переключателями нельзя, поэтому в B2B/B2G толку от них чуть, поскольку полагаться на сознательность и память пользователей не рекомендуется.

Что касается технических характеристик, то Librem 5 имеет съемную (!) батарею емкостью 3500 мАч, 13-мегапиксельную основную камеру и 32 ГБ встроенной памяти, расширяемой до 2 ТБ с помощью microSD, зарядка — через USB-C.

 Модульный смартфон с ОСью на базе Linux стоимостью от 149$, из которого при необходимости можно извлечь ненужные компоненты. Проблема в том, что с той же легкостью пользователь может вставить в него недостающий модуль камеры и сделать с этим особо ничего нельзя.

PinePhone использует четырехъядерный процессор Allwinner A64, имеет 2ГБ оперативной и 16 ГБ встроенной памяти. Питается от съемного аккумулятора емкостью 3000 мАч, который можно заряжать через USB-C. Есть две камеры – 5-мегапиксельная основная 2-мегапиксельная для селфи. Кажется, что в последний раз такие ставили в смартфоны лет пять назад.

Отечественный защищённый смартфон стоимостью более 100 тыс. руб. Работает под управлением операционной системы Аврора. Попробовали ронять его с высоты 1,5 метра при температуре +60 ОС в пыльном помещении. Придумать реальный сценарий для этого сложно. Но если вы решили пойти в финскую сауну, в которой давно не убирались, взяли в парилку смартфон и от нагрева уронили его на пол, он продолжит работать. Солидная вещь для солидных господ.

Ключевой недостаток перечисленных защищённых решений – это число доступных приложений. Если в случае с Android и iOS их насчитываются миллионы, то здесь всё гораздо скромнее. Надо понимать, что какие бы инвестиции не вкладывались в независимые платформы, они начали на 10 лет позже Google и Apple и многих ставших нам привычными технологий и функций приходится или ждать, или хотя бы косвенно оплачивать их разработку.

Например, в октябре этого года вышла версия Sailfish 3.4, отечественным портом которой является ОС Аврора. В новой версии, благодаря усилиям наших соотечественников, … появилась возможность выделять и копировать текст в сообщениях электронной почты.

«Сами себе добавили канал утечки» – скажете вы. Нет, это вклад в удобство операционки, сделанной гиками для гиков.

Документы, заметки

DropBox для мобильных устройств вполне может стать источником компрометации каких-либо документов, равно как и различные заметки и события в календаре. Емкость современных устройств достаточно велика, чтобы они могли заменить usb-накопители, а документы и файлы с них вполне способны порадовать злоумышленников. Нередко в смартфонах встречается использование заметок как универсального справочника паролей, также распространены хранящие пароли приложения, защищенные мастер-ключом. Необходимо учитывать, что в таком случае стойкость всех паролей равна стойкости этого ключа и грамотности реализации приложения.

Хочу айфон!

Логично, когда будущий владелец смартфона сначала определяет актуальные угрозы, потом выбирает эффективные меры защиты и, наконец, соответствующее устройство.

Но, как правило, подавляющее большинство пользователей следует другой логике. Сначала выбирают мобильное устройство, а потом вспоминают о желании защитить хранимые на нем данные.

Начнём с айпадов и айфонов.

Apple не первый год убеждает, что очень ценит данные своих пользователей и дорожит их доверием.

И в это начинаешь верить, когда приходится подтверждать установку каждого приложения, когда не можешь заблокировать потерянное устройство и т.п.

Но однажды служба поддержки Apple Care, деликатно спросив подтверждения пользователя, может подключиться к экрану любого iOS устройства и даже показывать на нём свой курсор. Никакой дополнительный софт типа TeamViewer для этого ставить не нужно! Всё идёт в комплекте с устройством. Текст пользовательского соглашения в этой части перед сном лучше не читать, так как бессонница гарантирована. «… Используется сторонний софт, который может передавать данные как во время сеанса связи с Apple Care, так и после». Мило!

Кстати, спасает от такого «подключения» установка запрета скриншотов.

Теперь немного о контейнеризации.

В iOS все приложения, URL и аккаунты разделяются на «управляемые» и «неуправляемые». В контексте рассматриваемой темы назовем их «корпоративными» и «личными». Единственное действие, которое возможно запретить пользователю между корпоративными и личными ресурсами – это Open In. После этого пользователь не может передать вложение из корпоративной почты в личный WhatsApp в виде файла, но может, например, скопировать туда весь его текст через буфер обмена. Apple называет это защитой от «непреднамеренных» утечек.

Единственный выход – использовать для доступа и обработки корпоративных данных специальный софт. Например, «защищенный почтовый клиент» с шифрованием или без него. Удобство и функциональность не гарантируется, но стоимость увеличится почти наверняка.

В чём устройства Apple действительно хороши (кроме суперского дизайна), так это в противодействии мобильной криминалистике. Извлечь данные с айфона, не зная пароля доступа к нему, практически нереально.

Да, и не используйте вход по биометрии, иначе вам покажут экран вашего айфона и ваш Face ID разблокирует все данные, как не крутись…

Выводы

Приложения для мобильных платформ подвержены как старым общеизвестным угрозам, так и новым, еще не изученным до конца. Растет уровень распространения вредоносных приложений для Android.

Угрозы безопасности мобильных банков создают риски компрометации критичных данных пользователей, хищения денежных средств и нанесения ущерба репутации банка. Разработчики мобильных банк-клиентов не уделяют достаточного внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. У разработчиков зачастую отсутствуют процессы разработки безопасного кода и архитектуры.

Рекомендации

  1. Осведомлять программистов о вопросах безопасности.
  2. Закладывать безопасность в архитектуру.
  3. Проводить аудит кода.
  4. Проводить анализ защищенности приложения.
  5. Применять параметры компилятора, связанные с безопасностью.
  6. Контролировать распространение приложения в сети Интернет.
  7. Быстро закрывать уязвимости и выпускать обновления.

Проведенное исследование, основанное на статическом анализе кода, показывает, что мобильные банки содержат уязвимости и недостатки, которые могут привести к хищению денежных средств. Уровень защищенности мобильных банков в большинстве случаев не превосходит уровня защищенности обычных мобильных приложений, в то время как связанные с ними риски подразумевают повышенные требования по безопасности.

Перед началом исследования предполагалось, что количество специфичных уязвимостей для мобильной платформы будет значительно преобладать над количеством общеизвестных. Но в результате можно увидеть примерно одинаковое количество уязвимостей обоих классов. Это означает наличие возможности проведения хорошо известных атак и на мобильные банковские приложения без знания их специфики. Полученные результаты пересекаются с OWASP Тор 10 Mobile Risks.

У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низкими по сравнению с возможной выгодой.

Современные средства защиты для мобильных устройств — антивирусы, MDM-решения и т.д. — могут сократить риск, но не решить весь спектр проблем. Безопасность должна внедряться еще на этапе проектирования системы и присутствовать на всех этапах жизненного цикла программы, включая этап разработки и внедрения. Необходимо осуществлять аудит кода, анализ защищенности приложения, тестирование на проникновение.

Риски при использовании мобильного банкинга обратно пропорциональны защищенности приложения. Поэтому необходим комплексный аудит защищенности мобильных банковских приложений. Специалисты по ИБ банков должны уделять безопасности мобильных банков не меньше внимания, чем безопасности интернет-банков.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: