Анализ безопасности мобильных приложений

На сегодняшний день компании все чаще используют мобильные приложения для более удобного взаимодействия с сотрудниками и клиентами. Вместе с тем мобильные приложения, как и любые другие элементы ИТ-инфраструктуры компании, могут содержать уязвимости, используя которые злоумышленники в состоянии получить доступ к персональным, платежным или учетным данным, которые хранятся на мобильном устройстве пользователя.

Анализ безопасности мобильных приложений позволяет своевременно выявить имеющиеся уязвимости и предотвратить возможные утечки данных и нелегитимные действия нарушителей.

При проведении анализа защищенности мобильных приложений «ДиалогНаука» использует расширенную методику, учитывающую специфику рассматриваемого типа приложения и основанную на стандартах OWASP Mobile и STIG (Security Technical Implementation Guide). Данная методика также использует подходы, описанные в Mobile Security Testing Guide (MSTG) для мобильных приложений iOS и Android, а также общий для всех мобильных приложений подход, описанный в стандарте Mobile Application Security Verification Standard (MASVS).

Кроме типичных для веб-приложений методов Black Box и Grey Box, для мобильных приложений используется расширенная модель нарушителя, обычно включающая в себя дополнительные сценарии, такие как: MiTM (Человек-по-середине), MiTB (Вредоносное приложение), а также «Похищенный или потерянный телефон».

По результатам проведенного аудита безопасности мобильных приложений готовится отчет, содержащий информацию о выявленных уязвимостях, оценку возможности их эксплуатации, уровня их критичности, а также сценарии их комбинированного использования. Кроме этого, в отчете содержатся рекомендации по устранению всех выявленных уязвимостей.