Приложения для смартфонов и планшетов: проверено Positive Technologies

Приложения для смартфонов и планшетов: проверено Positive Technologies

Компания Positive Technologies объявляет о запуске услуги по анализу защищенности критических приложений на мобильных платформах.

Компания Positive Technologies объявляет о запуске услуги по анализу защищенности критических приложений на мобильных платформах. Основная цель развития нового направления — эффективная и комплексная оценка безопасности различных систем, клиентская часть которых все чаще используется на портативных устройствах.

Помимо анализа защищенности систем дистанционного банковского обслуживания, интернет-платежей, управления услугами мобильной связи, ERP-систем и информационных инфраструктур, Positive Technologies будет оказыватьуслуги по оценке уровня безопасности и поиску уязвимостей в мобильных приложениях для операционных систем Apple iOS, Google Android, Windows Phone и др. — в зависимости от потребностей заказчика.

Эксперты компании обладают успешным опытом выявления и устранения критических ошибок в различных мобильных приложениях — браузерах, антивирусах, почтовых клиентах, клиентах интернет-банков.

Комплексное исследование любых мобильных приложений

Анализ защищенности приложений на мобильных платформах, предложенный Positive Technologies, включает в себя всестороннее исследование информационной безопасности приложения — как клиентской, так и серверной его части. В процессе анализа осуществляется поиск программных уязвимостей в приложении и исследование логики его работы, что позволяет обнаруживать сложные проблемы, такие как возможность несанкционированного проведения транзакций.

Для каждой используемой мобильной платформы проводится самостоятельный комплекс работ, учитывающий специфику ее архитектуры и реализации.

При анализе защищенности серверной части системы Positive Technologies использует методики и инструменты собственной разработки, включая систему анализа защищенности и соответствия стандартам MaxPatrol. В работе используются методологии признанных международных организаций — Web Application Security Consortium (WASC), Open Web Application Security Project (OWASP) — и передовой опыт в области безопасности приложений.

Анализ защищенности мобильных приложений может проводиться экспертами компании как методом серого ящика (со стороны нарушителя, обладающего пользовательским доступом к приложению), так и методом белого ящика, который подразумевает анализ исходного кода и архитектуры приложения.

В результате проведения работ клиент получает объективную и независимую оценку уровня защищенности приложения, которая может послужить основой для разработки программы мероприятий по повышению уровня информационной безопасности приложения и снижению соответствующих рисков. При проведении анализа с использованием метода белого ящика дополнительным результатом работ могут стать «патчи» — специализированные исправления обнаруженных ошибок.

Актуальность

Активный рост рынка мобильных устройств, наблюдаемый в течение последних нескольких лет, не мог не вызвать возникновения новых услуг в различных сферах бизнеса. Все чаще появляются клиент-серверные приложения, разрабатываемые для мобильных платформ (iOS, Android и др.), которые позволяют пользователям осуществлять финансовые операции. Эти приложения часто содержат уязвимости, использование которых злоумышленниками может привести к ощутимым финансовым и репутационным потерям для компании — владельца системы.

По оценкам экспертов в 2011 году средний годовой ущерб крупных компаний, вызываемый инцидентами, связанными с мобильными приложениями, превысил 400 000 долл. США.

Комментарии экспертов

Борис Симис, директор по развитию компании Positive Technologies:
«Сегодня мы используем смартфоны и планшетные компьютеры для совершенно разных задач — от просмотра фильмов до платежей в банке и доступа к критическим корпоративным данным. Фактически мобильное устройство — это офис в кармане и отношение к его защите должно быть не менее серьезным, чем к защите офисных систем и приложений. Однако наш опыт показывает, что при разработке мобильных версий платформ практически не учитываются те наработки, которые накоплены в области безопасности традиционных приложений и веб-систем. Парадоксально, но мобильная программа может содержать ошибки, уже устраненные в версии для настольных компьютеров».

Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies:
«Мы регулярно проводим анализ защищенности различных систем ДБО. Сегодня этот процесс немыслим без тщательного изучения безопасности приложений для самых популярных мобильных устройств. То же самое можно сказать о телекоммуникационной, промышленной и многих других сферах, где терминалами для доступа к критической для бизнеса информации все чаще становятся мобильные устройства».

Подробное описание услуги по анализу защищенности приложений на мобильных платформах представлено на официальном сайте PositiveTechnologies.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!