Современный мир требует надежного и быстрого доступа к информации с мобильных устройств из любой точки мира. Мобильные приложения давно стали неотъемлемой частью бизнеса и частной жизни.
Разработчики мобильных приложений зачастую не уделяют достаточного внимания вопросам безопасности приложений и не соблюдают правила по безопасной разработке. Отсутствуют процессы разработки безопасного кода и архитектуры. Многие мобильные приложения содержат уязвимости, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.
С помощью нашей платформы , которая осуществляет комплексное тестирование мобильных приложений и бэкэнда с использованием гибридной технологии традиционного пентеста и искусственного интеллекта, мы собрали уникальный статистический материал по уязвимостям в мобильных приложениях. Посмотрим на краткую статистику, полученную в результате тестирования iOS и Android мобильных приложений за 2017 год:
- 78% API и веб-сервисов в мобильном бэкэнде содержат уязвимости, открывающие доступ к конфиденциальной информации;
- 69% API и веб-сервисов в мобильном бэкэнде не имеют механизмов автоматической защиты (например, WAF) против веб-атак.
- У 97% приложений была найдена по крайней мере одна уязвимость из ;
- Более 82% приложений имели по крайней мере одну критическую и две средние уязвимости;
- Более 63% приложений не имели вовсе или имели слабое шифрование при отправлении и получении данных.
Статистика удручающая. Поэтому мы решили пойти дальше и создали полностью автоматизированный онлайн-сервис для проверки безопасности мобильных приложений iOS и Android. И да, мы сделали его абсолютно бесплатным для всех! Данный сервис абсолютно незаменим для тестирования финансовых приложений (банк-клиент, веб-кошельки и т.п.), а также приложений, которые тем или иным образом получают доступ к вашим персональным данным. Заходим на и бесплатно тестируем мобильные приложения.
Этот сервис полезен не только разработчикам. Теперь любой из нас может проверить безопасность конкретного мобильного приложения перед установкой на свой смартфон. Причем для приложения Android достаточно набрать его название в Google Play. Для проверки iOS приложения нужно загрузить IPA архив.
Наш сервис выполняет динамический (DAST), статический (SAST) и поведенческий анализ как нативных, так и гибридных мобильных приложений iOS и Android. Позволяет проверить на уязвимости из списка OWASP Mobile Top 10 и ищет другие "слабые" места вашего приложения. Полный список тестируемых уязвимостей .
Статистика - точная наука. И приведенные выше факты говорят о том, что число атак будет неуклонно расти, а число "скомпрометированных" мобильных приложений превысит все допустимые нормы. Растут потребности и опыт злоумышленников. Соответственно, должен расти и уровень безопасности приложений.
