“Дыры” в информационной безопасности в мобильных приложениях

Разработчики стараются обеспечить безопасность приложения, но нередко пользователи сами приоткрывают лазейку для вредоносных атак. Мобильные устройства становятся все более сложными с выходом каждой новой версии, но и технологии хакеров от них не отстают. Быстрый взлом вашего смартфона могут сделать через любой канал - от Wi-Fi до микрофона. Мы думаем, что благодаря привязке мобильных устройств и двухэтапной аутентификации нам ничто не грозит. А так ли это на самом деле?

Хакерские атаки и способы борьбы

Аналитики Positive Technologies (поставщик решений в области информационной безопасности) опубликовали подробный перечень сценариев атак на популярные мобильные приложения. Приведем краткое изложение самых распространенных зависимостей:

Уязвимость физического доступа

Чаще всего воспользоваться вашими данными можно просто получив устройство в руки. Происходит это во время ремонта в сервисе, при краже или потере смартфона. В этом случае владелец предупрежден об опасности и может своевременно принять меры для исключения возможности доступа к личной информации на устройстве путем блокировки или удаления. Реже встречается кража информации с помощью подложной зарядной станции. При подключении через порт USB владелец дает разрешение на доступ к смартфону или айфону. Эту лазейку в некоторых случаях можно использовать для установки вредоносного софта на устройство. Троян собирает аутентификационные данные от приложений и получает к ним доступ. Защита: При зарядке в общественных местах будьте внимательны и осторожны. При запросах от системы не подтверждайте выдачу никаких дополнительных разрешений. Всегда используйте пароль или биометрическую идентификацию для разблокировки устройства. Отключайте показ уведомлений на заблокированном экране

Установка вредоносных приложений

Опасный софт можно скачать даже через официальные магазины приложений, а в условиях санкций это особенно актуально. Люди используют прокси, ищут обход блокировок и сами снижают уровень защиты. Ненадежны неофициальные сайты, установка из недостоверных источников. Плохо защищены те, кто устанавливает приложения путем загрузки исполняемых файлов прямо в браузере. Вредоносные приложения получают доступ не только к паролям от аккаунтов и контактам владельца устройства, но и к управлению камерой, динамиками, микрофоном, геопозиции. Защита: Лучше всего никогда не устанавливать приложения из недостоверных источников. Проверяйте название продукта - оно должно быть оригинальным. Не забывайте обновлять операционную систему

Уязвимости каналов связи

По идеальному сценарию трафик вашего устройства должен идти напрямую между мобильным приложением и серверной частью. Но в эту цепочку встраивают лишнее звено - и информация теперь проходит через мошенников. Такое случается даже при установке защищенного соединения, если:

• приложение содержит ссылки на сторонние ресурсы
• отключена проверка подлинности сертификата
• не проводится проверка соответствия параметров сервера
• проверка сертификата выполнена некорректно
• на устройство уже установлен сертификат злоумышленников (смотрите выше)

Атаки такого рода носят название фишинговых и способны долго оставаться незамеченными, если вы не проводите регулярную проверку безопасности устройства.

Защита: Самое надежное - отказаться от использования прокси- и VPN-серверов, в безопасности которых вы не уверены. Избегайте выхода в интернет через общественные точки доступа. Не устанавливайте сторонние сертификаты

В заключение

Чем может обернуться уязвимость мобильного приложения для владельца смартфона? Потеря контроля над безопасностью приводит к утечке личных данных. Это означает, что мошенники могут менять реквизиты счетов или суммы переводов, когда вы выполняете банковские операции через приложение. Перехватывать данные банковских карт, пароли и пин-коды. Как показывает аналитика, до 45% уязвимостей веб-приложений вызваны неправильными настройками безопасности и поведением пользователей.