Основные виды угроз для мобильных устройств и приложений

 

Современные смартфоны и планшеты, оснащенные полноценными операционными системами с огромными возможностями, обладают не менее огромными уязвимостями. Они могут стать целями для хакерских атак, могут быть взломаны как удаленными способами, так и физическими. Рассмотрим основные виды угроз:

1. Утечка данных, следующая из потери или кражи устройства. Если вы потеряете свое устройство, не заблокировав его с помощью PIN-кода или пароля, то у нового владельца вашего телефона будет доступ ко всем данным в том числе:

· вашей электронной почте, включая любые пароли или информацию об учетной записи, которую вы сохранили на устройстве;

· вашим учетным данным в социальных сетях, таких как Facebook, Google + или Twitter;

· паролям, сохраненным в браузере;

· информации о кредитной карте и паролям, сохраненным в таких приложениях как Amazon и Google Wallet;

· адресам электронной почты и номерам телефонов ваших контактов;

· пути к защищенным сетям Wi-Fi, которые вы сохранили;

· Фотографиям и видео, сохраненным на устройстве.

2. Неумышленное раскрытие данных. Разработчики часто предоставляют больше функций, чем может отследить пользователь. Например, вы можете даже не знать о том, что ваше устройство передает сведения о вашем расположении всякий раз, когда вы отправляете фотографию, используя приложение средств социального общения. Вот некоторые способы, которыми вы можете неумышленно сообщать миру о том, где находитесь в данный момент:

· если вы отправили фотографию с включенными данными расположения;

· если кто-то тегирует вас в фотографии без вашего ведома;

· если вы «зарегистрировались» в определенном ресторане или кафе, используя приложение расположения.

3. Атаки на использованное или отказавшее устройство. Если вы не стерли информацию со своего старого мобильного устройства должным образом, следующий владелец может легко получить доступ к огромному количеству ваших персональных данных. Согласно исследованиям European Union Agency for Network and Information Security (ENISA), ненадлежащим образом списанные мобильные устройства могут привести к утечке такой информации, как:

· история вызовов;

· контакты;

· электронные письма.

4. Фишинговые атаки. Фишинг (Phishing) — мошенническая форма сбора данных, при котором атакующий пытается обмануть пользователей с целью хищения персональных данных, таких как пароли и информация о кредитной карте, отправляя им поддельные сообщения, которые кажутся подлинными. Phishing может являться во множестве обликов:

· поддельные приложения, подражающие законным приложениям, таким как Angry Birds (http://www.technewsdaily.com/17070-angry-birds-botnet.html);

· электронные письма, которые имитируют законных отправителей, таких как банки и другие финансовые учреждения;

· SMS-сообщения, имитирующие законных отправителей.

5. Атаки шпионских программ. Если ваше мобильное устройство заражено шпионским программным обеспечением — с помощью вредоносного приложения или путем заражения через веб-сайт, — вредоносный код может отправить ваши персональные данные удаленному серверу без вашего ведома. Информация, пересылаемая шпионским программным обеспечением, может включать:

· все нажатия клавиш, начиная с момента заражения;

· имена, номера телефонов и адреса электронной почты ваших контактов;

· информацию о вашей кредитной карте.

6. Использование спуфинга сети. Хакеры иногда охотятся на тех, кто использует общедоступные сети Wi-Fi. Если вы не применяете VPN (или заходите на сайты, требующие пароль, но не использующие SSL), ваши данные могут быть просто украдены. Вот некоторые примеры информации, которую вы могли случайно раскрыть:

· пароли к незашифрованным веб-сайтам;

· пароли к почте, передаваемые через незашифрованное соединение на веб-сайт (авторизация на очень многих почтовых серверах – по plaintext-паролю).

 

1.3. Методика исследования программ на предмет соответствия требованиям информационной безопасности

 

В процессе оценки защищенности мобильных приложений были исследованы приложения, к которым предъявляются повышенные требования безопасности. В частности, были исследованы мобильные приложения банковских организаций РФ и стран ближнего зарубежья, операторов мобильной связи, электронных платежных систем и электронных денежных систем. Общее число исследованных приложений составило 52 мобильных приложений, находящихся в открытом доступе, исполняющихся под управлением операционных систем Android, iOS и Windows Phone.

 

Мобильная операционная система	Количество исследуемых приложений
Android
iOS
Windows Phone

Таблица 1. Распределение исследуемых мобильных приложений

 

Процесс анализа мобильного приложения включал в себя анализ программного кода приложения. Программный код мобильного приложения был исследован как с применением инструментальных средств статического анализа, так и вручную. При этом методика анализа программного кода существенно зависит от доступности исходного кода мобильного приложения или его компонентов. В рамках данной работы различались два подхода к исследованию программного кода.

Анализ программного кода с доступным исходным кодом мобильного приложения может быть осуществлен с использованием инструментальных средств статического анализа. Метод анализа программного кода с доступным исходным кодом применялся при анализе приложений для мобильных платформ Android, iOS и Windows Phone. Исследование программного кода таких мобильных приложений осуществлялось следующим образом:

– Анализ исходного кода на наличие стороннего программного кода из открытых источников. При наличии стороннего программного кода, такой код был исследован на наличие известных уязвимостей в открытых источниках информации.

– Анализ исходного кода мобильного приложения инструментальными средствами статического анализа. Результаты работы средств статического анализа программного кода были исследованы для определения ошибок первого рода.

– Анализ программного кода с частично либо полностью недоступным исходным кодом мобильного приложения был осуществлен с использованием методов обратной разработки программного кода. Метод анализа программного кода с частично либо полностью недоступным исходным кодом применялся при анализе приложений для мобильных платформ Android и iOS. Исследование программного кода таких мобильных приложений осуществлялось следующим образом:

– Анализ программного кода на наличие стороннего программного кода из открытых источников. В контексте исследования программных компонентов, исходный код которых недоступен, наличие стороннего программного кода определялось на основании символьной информации в двоичном образе таких компонентов. При наличии стороннего программного кода, такой код был исследован на наличие известных уязвимостей в открытых источниках информации.

– Применение методов обратной разработки к программному коду мобильного приложения. В процессе исследования программного кода применялись как инструментальные средства дизассемблирования программного кода, так и средства восстановления исходного кода с использованием методов декомпиляции.

– В случае, если были применены методы восстановления исходного кода, производился анализ такого кода инструментальными средствами статического анализа. Результаты работы средств статического анализа программного кода были исследованы для определения ошибок первого рода.

– Анализ дизассемблированного кода вручную.

 

Анализ работы мобильных приложений был осуществлен с использованием средств динамического анализа программ и средств отладки. В процессе анализа были использованы среды выполнения на физических мобильных устройствах и средствах программной эмуляции мобильных устройств. При этом был произведен анализ:

- потоков управления и данных мобильного приложения;

- межсетевых взаимодействий, осуществляемых мобильным приложением;

- вызовов системных функций, в частности процедур чтения и записи на устройства вспомогательной (энергонезависимой) памяти и записей в системный журнал событий;

- использования сервисов, предоставляемых операционной системой, например, сообщений SMS/USSD, системного журнала событий, модуля NFC и других;

- межпроцессных взаимодействий.

В некоторых случаях, например, при анализе межпроцессных взаимодействий, осуществлялось тестирование поведения мобильного приложения при передаче приложению случайных данных (Fuzz Testing).

 

2. Результаты исследования программ на предмет соответствия требованиям информационной безопасности

 

В данном разделе систематизирована информация о результатах исследования мобильных приложений на предмет соответствия требованиям информационной безопасности. В разделе рассматриваются типовые уязвимости мобильных приложений, присущие мобильным приложениям каждой из исследованных мобильных платформ.