Positive Technologies объявляет о запуске новой услуги анализа защищенности приложений на мобильных платформах

Помимо анализа защищенности систем дистанционного банковского обслуживания, интернет-платежей, управления услугами мобильной связи, ERP-систем и информационных инфраструктур, Positive Technologies будет оказывать услуги по оценке уровня безопасности и поиску уязвимостей в мобильных приложениях для операционных систем Apple iOS, Google Android, Windows Phone и др. — в зависимости от потребностей заказчика.

Эксперты компании обладают успешным опытом выявления и устранения критических ошибок в различных мобильных приложениях — браузерах, антивирусах, почтовых клиентах, клиентах интернет-банков.

Комплексное исследование любых мобильных приложений

Анализ защищенности приложений на мобильных платформах, предложенный Positive Technologies, включает в себя всестороннее исследование информационной безопасности приложения — как клиентской, так и серверной его части. В процессе анализа осуществляется поиск программных уязвимостей в приложении и исследование логики его работы, что позволяет обнаруживать сложные проблемы, такие как возможность несанкционированного проведения транзакций.

Для каждой используемой мобильной платформы проводится самостоятельный комплекс работ, учитывающий специфику ее архитектуры и реализации.

При анализе защищенности серверной части системы Positive Technologies использует методики и инструменты собственной разработки, включая систему анализа защищенности и соответствия стандартам MaxPatrol. В работе используются методологии признанных международных организаций — Web Application Security Consortium (WASC), Open Web Application Security Project (OWASP) — и передовой опыт в области безопасности приложений.

Анализ защищенности мобильных приложений может проводиться экспертами компании как методом серого ящика (со стороны нарушителя, обладающего пользовательским доступом к приложению), так и методом белого ящика, который подразумевает анализ исходного кода и архитектуры приложения.

В результате проведения работ клиент получает объективную и независимую оценку уровня защищенности приложения, которая может послужить основой для разработки программы мероприятий по повышению уровня информационной безопасности приложения и снижению соответствующих рисков. При проведении анализа с использованием метода белого ящика дополнительным результатом работ могут стать «патчи» — специализированные исправления обнаруженных ошибок.

Актуальность

Активный рост рынка мобильных устройств, наблюдаемый в течение последних нескольких лет, не мог не вызвать возникновения новых услуг в различных сферах бизнеса. Все чаще появляются клиент-серверные приложения, разрабатываемые для мобильных платформ (iOS, Android и др.), которые позволяют пользователям осуществлять финансовые операции. Эти приложения часто содержат уязвимости, использование которых злоумышленниками может привести к ощутимым финансовым и репутационным потерям для компании — владельца системы.

По оценкам экспертов в 2011 году средний годовой ущерб крупных компаний, вызываемый инцидентами, связанными с мобильными приложениями, превысил 400 000 долл. США.

Комментарии экспертов

Борис Симис, директор по развитию компании Positive Technologies:

«Сегодня мы используем смартфоны и планшетные компьютеры для совершенно разных задач — от просмотра фильмов до платежей в банке и доступа к критическим корпоративным данным. Фактически мобильное устройство — это офис в кармане и отношение к его защите должно быть не менее серьезным, чем к защите офисных систем и приложений. Однако наш опыт показывает, что при разработке мобильных версий платформ практически не учитываются те наработки, которые накоплены в области безопасности традиционных приложений и веб-систем. Парадоксально, но мобильная программа может содержать ошибки, уже устраненные в версии для настольных компьютеров».

Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies:

«Мы регулярно проводим анализ защищенности различных систем ДБО. Сегодня этот процесс немыслим без тщательного изучения безопасности приложений для самых популярных мобильных устройств. То же самое можно сказать о телекоммуникационной, промышленной и многих других сферах, где терминалами для доступа к критической для бизнеса информации все чаще становятся мобильные устройства».