Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники

231 views

Published on

О защите и уязвимостях данных мобильных приложений популярных в России социальных сетей.

Published in: Internet
  • Login to see the comments

  • Be the first to like this

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники

  1. 1. Анализ защиты мобильных приложений Facebook, ВКонтакте, Instagram, «Одноклассники», LinkedIn
  2. 2. ©2016, ОАО «ИнфоТеКС». Мобильные приложения  Широкий сектор доступных возможностей  Онлайн 24х7х365  Большой объём данных  Наличие критичных данных
  3. 3. ©2016, ОАО «ИнфоТеКС». Риски мобильных приложений  Динамичный характер приложений  Заброшенные проекты  Исправление ошибок – долго и только для новой версии  Заказная разработка
  4. 4. ©2016, ОАО «ИнфоТеКС». (Не-)Защищённость данных  Персонифицирующие данные  Учётные данные  Документы, почта  Прочие данные 2016 NowSecure Mobile Security Report
  5. 5. ©2016, ОАО «ИнфоТеКС». Социальные сети
  6. 6. ©2016, ОАО «ИнфоТеКС». Соцсети и данные  Адресная книга и профили пользователей  Аналитика  Браузерная информация  Гео, навигация и карты  Данные аккаунта  Данные приложения  Данные устройства  Информация о событиях  Логи  Медиа  Персональная информация  Платежи  Сообщения  Социальная информация  Учетные данные  VK  OK  LinkedIn  Instagram  Facebook К-во лок данных, 98 К-во сетев данных, 148 К-во данных, 246
  7. 7. ©2016, ОАО «ИнфоТеКС». Соцсети и данные 0 10 20 30 40 50 60 Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS 24 14 20 13 12 34 19 27 18 30 58 33 47 31 42 К-во данных в iOS-приложениях К-во лок данных К-во сетев данных К-во данных 0 10 20 30 40 50 60 Facebook Android VK Android OK Android LinkedIn Android Instagram Android 23 13 19 12 14 34 19 33 18 30 57 32 52 30 44 К-во данных в Android-приложениях К-во лок данных К-во сетев данных К-во данных
  8. 8. ©2016, ОАО «ИнфоТеКС». Соцсети и защищённость 0.00 2.00 4.00 6.00 8.00 10.00 Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS 3.79 4.75 5.08 4.04 5.544.68 2.89 3.67 4.00 3.60 4.31 3.68 4.27 4.02 4.15 Защищённость данных iOS Ср.Локал Ср.Сетев Ср 0.00 1.00 2.00 3.00 4.00 5.00 6.00 7.00 8.00 9.00 10.00 Facebook Android VK Android OK Android LinkedIn Android Instagram Android 3.50 4.73 3.50 3.50 3.50 4.68 2.89 3.64 4.00 3.60 4.20 3.64 3.59 3.80 3.57 Защищённость данных Android Ср.Локал Ср.Сетев Ср
  9. 9. ©2016, ОАО «ИнфоТеКС». Facebook iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Аналитика • Данные приложения • Браузерная информация • Учетные данные • Данные устройства • Информация о событиях • Гео, навигация и карты • Медиа • Социальная информация • Уровни защищённости • Браузерная информация – нет защиты • Собственный браузер • Данные приложения – частично защищено от MITM атак (требуется доверенный сертификат). Однако, здесь присутствуют: • Логгируемые данные • Учётные данные (пароли) • Учётные данные (пароли приложений) • История транзакций • Общие данные профиля • Учетные данные (ИД) • Данные карты • Неполные данные карты • Остальные данные – SSL Pinning • Только детальные данные аккаунта были недоступны в резервной копии устройства
  10. 10. ©2016, ОАО «ИнфоТеКС». VK iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Данные VK for iPhone частично защищено от MITM атак (требуется доверенный сертификат). Остальные данные VK for iPad и VK for Android– предустановленный сертификат для MITM не требуется • Только медийные данные всех групп были недоступны в резервной копии устройства
  11. 11. ©2016, ОАО «ИнфоТеКС». OK iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Аналитика • Данные приложения • Браузерная информация • Учетные данные • Информация о событиях • Логи, Медиа, Сообщения • Платежи • Персональная информация • Уровни защищённости • Медийная информация разных категорий – нет защиты • In-App платежи для iOS – защищены SSL-Pinning со стороны Apple • Остальные данные, вкл. In-App платежи и данные карты частично защищено от MITM атак (требуется доверенный сертификат). • Только медийные и конфиг. данные разных групп были недоступны в резервной копии устройства
  12. 12. ©2016, ОАО «ИнфоТеКС». LinkedIn iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Все сетевые данные частично защищены от MITM атак (требуется доверенный сертификат). • Все данные доступны в резервной копии
  13. 13. ©2016, ОАО «ИнфоТеКС». Instagram iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Медийные данные разных групп – не защищено • Медийные данные • Медийный стрим • Избранное/Ослеживаемое • Все остальные сетевые данные частично защищены от MITM атак (требуется доверенный сертификат). • Все данные, кроме медийных и логов доступны в резервной копии, в т.ч. ссылки на медийные файлы
  14. 14. ©2016, ОАО «ИнфоТеКС». Выводы • 5 популярных приложений • 2 популярные ОС • ~250 данных, из них информация не имеет защиты • Браузерная • Социально-медийная • Медийная • Приложения имеют проблемы с защитой данных всех или отдельных типов • Данные приложений дублируются и одни могут защищены хуже других • За год проверено 700+ приложений • Групп данных 100+, данных 10K+ • Бизнес-логика и механизмы защиты приложений между ОС отличаются • Много данных дублируется • Много данных внутри одного приложения защищается по- разному • В среднем защищённость данных повышается только за счёт механизмов ОС (вклад разработчиков < 50%)

×