SlideShare a Scribd company logo

10 уязвимостей в мобильном ПО

jet_information_security
jet_information_security

Рассматриваются уязвимости, типичные для мобильных приложений, по результатам исследования мобильных приложений из разных областей (банковское дело, телекоммуникации). В качестве основных платформ рассматриваются наиболее распространенные в настоящее время мобильные платформы Android и iOS.

Technology
1 of 19
Download to read offline
Больше чем безопасность к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет» 10 уязвимостей в мобильном ПО 12 мая 2014 года
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Введение Мобильное приложение – это конкурентное преимущество! Особенности: • эксплуатация в разнообразных средах • недоступность дополнительных средств защиты • невозможность удаленного контроля Мобильное приложение – уязвимо!!!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Дефекты в программном обеспечении: • Ошибки • Уязвимости • Недекларированные возможности
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Уязвимости – это ошибки разработчиков, которые потенциально могут эксплуатироваться злоумышленниками с целью получения несанкционированного доступа к управлению ПО
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Причины появления уязвимостей в коде • Разработчик обычно не является экспертом в области ИБ • Практика разработки мобильных приложений имеет специфику • Мобильные приложения часто разрабатываются на заказ, а требования к функциональности дорабатываются в процессе разработки • Требования к разработке – БЫСТРО!!! • Сфера работы для программистов новая и стремительно развивающаяся • Уязвимостей для мобильных приложений очень много и они «легко» встраиваются в код
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 1: Недостаточная проверка SSL- сертификатов (Android и iOS) Установка защищенного соединения • проверка подлинности подписи SSL сертификата Модель атаки: • «подкладываем пользователю» «неправильный сертификат» • перехватывает трафик на «неправильный сервер» • показываем «неправильный сертификат» • «перенаправляем пользователя» на свой сервер Атака – Человек по середине Риск – 10/10 (полная потеря конфиденциальных данных)
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 2: Хранение настроек в файловой системе (iOS) Настройки приложения хранятся в .plist-файле в «защищенном» каталоге Настройки могут хранить: • регистрационные имена • пароли Модель атаки: • Получаем физический доступ к устройству • Подключаем устройство к компьютеру • iExplorer дает доступ к .plist-файлу Атака – Доступ к устройству или стороннее приложение Риск – 5/10 (требуется доступ к устройству)
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 3: Работа на модифицированных устройствах (Android и iOS) Приложения должны выполняться в защищенном пространстве: «песочнице». Если устройство модифицировано, то нет возможности контролировать доступ к памяти приложений. Должны быть 2 сценария работы приложения: • На защищенном устройстве • На модифицированном устройстве Атака – вредоносное ПО может управлять трафиком Риск – 7/10 (пользователи обычно осознают риск)
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 4: Утечка приватной информации в системные журналы (Android и iOS) Приложение записывает в системные журналы конфиденциальную информацию, например, тело POST-запроса. Модель атаки: Любое приложение с правами доступа чтения из системного журнала имеет доступ информации, которую записывают в него любые приложения Атака – утечка конфиденциальной информации Риск – 3/10 - 9/10 (зависит от информации)
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 5: Использование дополнительных сервисов (Android и iOS) Обычно используют три сервера: • основной • геолокации и картографии • вспомогательной информации Вспомогательные сервера обделены вниманием ИБ Модель атаки: • перехват информации, отправляемой на мобильное устройство • дезинформация об услугах • перенаправление на «ложные» страницы Атака – дезинформация пользователей, фишинговые атаки Риск – 4/10 - 6/10 (зависит от информации)
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 6: Утечка пользовательских данных при переходе в фоновый режим (iOS) При переходе приложения в фоновый режим iOS делает снимок экрана приложения, который сохраняется в домашней директории приложения по относительному пути Library/Caches/Snapshots/. На снимках экрана может содержаться конфиденциальная информация, что может привести к ее утечке. Атака – утечка конфиденциальной информации Риск – 3/10 - 8/10 (зависит от информации)
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 7: Не отключение системного буфера обмена (Android и iOS) Если приложение не отключает системный буфер обмена, то пользовательские действия в контексте приложения записываются и могут быть прочтенными из системного буфер обмена Атака – утечка конфиденциальной информации Риск – 4/10
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 8: Утечка информации через IPC (Android) Intent - объект, отвечающий за взаимодействие компонент Intent – не должен содержать конфиденциальную информацию Модель атаки: • процессы синхронизуются • Intent содержит конфиденциальную информацию • чужое приложение ее читает Атака – утечка конфиденциальной информации Риск – 3/10
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 9: Незащищенные приемники широковещательных сообщений (Android) Intent выдают широковещательные сообщения, которые принимает широковещательный приемник Модель атаки: • приемник не защищен правами доступа • вредоносное ПО подделывает сообщения Атака – утечка конфиденциальной информации. Захват управления приложением Риск – 4/10
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 10: Делегирование управления (Android) На платформе Android приложения могут делегировать управление другим приложениям, используя Intent Модель атаки: Если адрес Intent не определен, то чужое приложение может его захватить и перенаправить! Атака – утечка конфиденциальной информации. Захват управления приложением. Риск – 4/10
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Выводы и заключение • Невозможно запретить людям пользоваться ПО только по задуманным разработчиками сценариям. • Сложно собрать команду разработчиков, которая не будет оставлять в ПО возможности для его альтернативного использования. • Можно защититься от успешной эксплуатации большинства уязвимостей!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Выводы и заключение Для начала уязвимости нужно выявить и оценить угрозу! Оставить как есть и исправить в следующей версии Срочно исправлять код!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Выводы и заключение Анализ кода от Jet Infosystems позволит вам получить полную информацию: • о защищенности приложения до того, как его «протестируют» на защищенность злоумышленники • о потенциальных угрозах, которыми подвергается ваш бизнес, эксплуатирую разработанное ПО • как не допустить эксплуатацию выявленных уязвимостей Принять правильное решение!
Больше чем безопасность к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет» Спасибо за внимание Ваши вопросы 12 мая 2014 года

Recommended

Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБанковское обозрение
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...Банковское обозрение
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Банковское обозрение
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Учебный центр "Эшелон"
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentationUladzislau Murashka
 

Recommended

Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБанковское обозрение
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...Банковское обозрение
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Банковское обозрение
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Учебный центр "Эшелон"
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentationUladzislau Murashka
 
Penetration testing
Penetration testingPenetration testing
Penetration testingAlexander Dorofeev
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
 
программная защита
программная защитапрограммная защита
программная защитаNatalia Yakovleva
 
Классификация мобильных угроз
Классификация мобильных угрозКлассификация мобильных угроз
Классификация мобильных угрозVictor Kartashov
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examplesAleksey Lukatskiy
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015pabk
 
A Review of the Medical Studies Act - Michael Cogan
A Review of the Medical Studies Act - Michael CoganA Review of the Medical Studies Act - Michael Cogan
A Review of the Medical Studies Act - Michael CoganAnthony Roth
 
Ako sa nam zije 25 rokov od revolucie
Ako sa nam zije 25 rokov od revolucieAko sa nam zije 25 rokov od revolucie
Ako sa nam zije 25 rokov od revoluciepabk
 
Ekonomický týždenník 3. týždeň 2014
Ekonomický týždenník 3. týždeň 2014Ekonomický týždenník 3. týždeň 2014
Ekonomický týždenník 3. týždeň 2014pabk
 

More Related Content

What's hot

InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
 
программная защита
программная защитапрограммная защита
программная защитаNatalia Yakovleva
 
Классификация мобильных угроз
Классификация мобильных угрозКлассификация мобильных угроз
Классификация мобильных угрозVictor Kartashov
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 

What's hot (18)

Penetration testing
Penetration testingPenetration testing
Penetration testing
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организациях
 
программная защита
программная защитапрограммная защита
программная защита
 
Классификация мобильных угроз
Классификация мобильных угрозКлассификация мобильных угроз
Классификация мобильных угроз
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examples
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 

Viewers also liked

Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015pabk
 
A Review of the Medical Studies Act - Michael Cogan
A Review of the Medical Studies Act - Michael CoganA Review of the Medical Studies Act - Michael Cogan
A Review of the Medical Studies Act - Michael CoganAnthony Roth
 
Ako sa nam zije 25 rokov od revolucie
Ako sa nam zije 25 rokov od revolucieAko sa nam zije 25 rokov od revolucie
Ako sa nam zije 25 rokov od revoluciepabk
 
Ekonomický týždenník 3. týždeň 2014
Ekonomický týždenník 3. týždeň 2014Ekonomický týždenník 3. týždeň 2014
Ekonomický týždenník 3. týždeň 2014pabk
 
Untitled Presentation
Untitled PresentationUntitled Presentation
Untitled PresentationKuenga Namgay
 
Дети и железная дорога
Дети и железная дорогаДети и железная дорога
Дети и железная дорогаMasha Senti
 
Ekonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeňEkonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeňpabk
 
Sme jobs growth strategy development
Sme jobs growth strategy developmentSme jobs growth strategy development
Sme jobs growth strategy developmentJohn Hemphill
 
Project by yan
Project by yanProject by yan
Project by yanyan yan
 
Ekonomický týždenník 4. týždeň 2014
Ekonomický týždenník 4. týždeň 2014Ekonomický týždenník 4. týždeň 2014
Ekonomický týždenník 4. týždeň 2014pabk
 
День енциклопедии
День енциклопедииДень енциклопедии
День енциклопедииnikiivanova77
 
7 Ways to Get Your Ship Together
7 Ways to Get Your Ship Together7 Ways to Get Your Ship Together
7 Ways to Get Your Ship TogetherAngela Diniak
 
Alice , ,,,
Alice , ,,, Alice , ,,,
Alice , ,,, nadiaelam
 
Il Corpo e la Mente - battuto a macchina
Il Corpo e la Mente - battuto a macchinaIl Corpo e la Mente - battuto a macchina
Il Corpo e la Mente - battuto a macchinaZeno Bianchini
 
"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference
"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference
"Re-Thinking Social Inequality" - Documentation Herrenhausen ConferenceVolkswagenStiftung
 
Ekonomický týždenník Poštovej banky - 19. týždeň
Ekonomický týždenník Poštovej banky - 19. týždeňEkonomický týždenník Poštovej banky - 19. týždeň
Ekonomický týždenník Poštovej banky - 19. týždeňpabk
 
kerjaya saya
kerjaya sayakerjaya saya
kerjaya sayaraqib_12
 
Ekonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeňEkonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeňpabk
 

Viewers also liked (20)

Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
Ekonomický týždenník Poštovej banky - 34. týždeň, 2015
 
A Review of the Medical Studies Act - Michael Cogan
A Review of the Medical Studies Act - Michael CoganA Review of the Medical Studies Act - Michael Cogan
A Review of the Medical Studies Act - Michael Cogan
 
Ako sa nam zije 25 rokov od revolucie
Ako sa nam zije 25 rokov od revolucieAko sa nam zije 25 rokov od revolucie
Ako sa nam zije 25 rokov od revolucie
 
Ekonomický týždenník 3. týždeň 2014
Ekonomický týždenník 3. týždeň 2014Ekonomický týždenník 3. týždeň 2014
Ekonomický týždenník 3. týždeň 2014
 
Untitled Presentation
Untitled PresentationUntitled Presentation
Untitled Presentation
 
Дети и железная дорога
Дети и железная дорогаДети и железная дорога
Дети и железная дорога
 
Ekonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeňEkonomický týždenník Poštovej banky - 48. týždeň
Ekonomický týždenník Poštovej banky - 48. týždeň
 
Sme jobs growth strategy development
Sme jobs growth strategy developmentSme jobs growth strategy development
Sme jobs growth strategy development
 
Project by yan
Project by yanProject by yan
Project by yan
 
Ekonomický týždenník 4. týždeň 2014
Ekonomický týždenník 4. týždeň 2014Ekonomický týždenník 4. týždeň 2014
Ekonomický týždenník 4. týždeň 2014
 
День енциклопедии
День енциклопедииДень енциклопедии
День енциклопедии
 
7 Ways to Get Your Ship Together
7 Ways to Get Your Ship Together7 Ways to Get Your Ship Together
7 Ways to Get Your Ship Together
 
Eksogen
EksogenEksogen
Eksogen
 
Alice , ,,,
Alice , ,,, Alice , ,,,
Alice , ,,,
 
Il Corpo e la Mente - battuto a macchina
Il Corpo e la Mente - battuto a macchinaIl Corpo e la Mente - battuto a macchina
Il Corpo e la Mente - battuto a macchina
 
"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference
"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference
"Re-Thinking Social Inequality" - Documentation Herrenhausen Conference
 
CURSO IRPF - Primeira parte
CURSO IRPF - Primeira parteCURSO IRPF - Primeira parte
CURSO IRPF - Primeira parte
 
Ekonomický týždenník Poštovej banky - 19. týždeň
Ekonomický týždenník Poštovej banky - 19. týždeňEkonomický týždenník Poštovej banky - 19. týždeň
Ekonomický týždenník Poštovej banky - 19. týždeň
 
kerjaya saya
kerjaya sayakerjaya saya
kerjaya saya
 
Ekonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeňEkonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeň
 

Similar to 10 уязвимостей в мобильном ПО

Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Ontico
 
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"Expolink
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьEvgeniya0352
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройствSergey Soldatov
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepExpolink
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьCisco Russia
 

Similar to 10 уязвимостей в мобильном ПО (20)

Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
 
Chishinau
ChishinauChishinau
Chishinau
 
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячслав Медведев: "Антивирусная безопасность. Типичные ошибки"
 
ИБ эпохи перемен
ИБ эпохи переменИБ эпохи перемен
ИБ эпохи перемен
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
 
DLP in global view - RUSSIAN
DLP in global view - RUSSIANDLP in global view - RUSSIAN
DLP in global view - RUSSIAN
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-step
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
 

More from jet_information_security

CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияjet_information_security
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничестваjet_information_security
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...jet_information_security
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетjet_information_security
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяjet_information_security
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиjet_information_security
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойjet_information_security
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.jet_information_security
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБjet_information_security
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...jet_information_security
 
Jet inView - новое слово на рынке ИБ. И.Ляпунов
Jet inView - новое слово на рынке ИБ. И.ЛяпуновJet inView - новое слово на рынке ИБ. И.Ляпунов
Jet inView - новое слово на рынке ИБ. И.Ляпуновjet_information_security
 

More from jet_information_security (20)

Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014
 
Targeted attacks
Targeted attacksTargeted attacks
Targeted attacks
 
CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные изменения
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничества
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нет
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятной
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
 
10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП
 
Targeted (animated)
Targeted (animated)Targeted (animated)
Targeted (animated)
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБ
 
Контроль коммуникаций
Контроль коммуникацийКонтроль коммуникаций
Контроль коммуникаций
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
 
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
 
Jet inView - новое слово на рынке ИБ. И.Ляпунов
Jet inView - новое слово на рынке ИБ. И.ЛяпуновJet inView - новое слово на рынке ИБ. И.Ляпунов
Jet inView - новое слово на рынке ИБ. И.Ляпунов
 

10 уязвимостей в мобильном ПО

  • 1. Больше чем безопасность к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет» 10 уязвимостей в мобильном ПО 12 мая 2014 года
  • 2. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Введение Мобильное приложение – это конкурентное преимущество! Особенности: • эксплуатация в разнообразных средах • недоступность дополнительных средств защиты • невозможность удаленного контроля Мобильное приложение – уязвимо!!!
  • 3. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Дефекты в программном обеспечении: • Ошибки • Уязвимости • Недекларированные возможности
  • 4. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Уязвимости – это ошибки разработчиков, которые потенциально могут эксплуатироваться злоумышленниками с целью получения несанкционированного доступа к управлению ПО
  • 5. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Причины появления уязвимостей в коде • Разработчик обычно не является экспертом в области ИБ • Практика разработки мобильных приложений имеет специфику • Мобильные приложения часто разрабатываются на заказ, а требования к функциональности дорабатываются в процессе разработки • Требования к разработке – БЫСТРО!!! • Сфера работы для программистов новая и стремительно развивающаяся • Уязвимостей для мобильных приложений очень много и они «легко» встраиваются в код
  • 6. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 1: Недостаточная проверка SSL- сертификатов (Android и iOS) Установка защищенного соединения • проверка подлинности подписи SSL сертификата Модель атаки: • «подкладываем пользователю» «неправильный сертификат» • перехватывает трафик на «неправильный сервер» • показываем «неправильный сертификат» • «перенаправляем пользователя» на свой сервер Атака – Человек по середине Риск – 10/10 (полная потеря конфиденциальных данных)
  • 7. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 2: Хранение настроек в файловой системе (iOS) Настройки приложения хранятся в .plist-файле в «защищенном» каталоге Настройки могут хранить: • регистрационные имена • пароли Модель атаки: • Получаем физический доступ к устройству • Подключаем устройство к компьютеру • iExplorer дает доступ к .plist-файлу Атака – Доступ к устройству или стороннее приложение Риск – 5/10 (требуется доступ к устройству)
  • 8. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 3: Работа на модифицированных устройствах (Android и iOS) Приложения должны выполняться в защищенном пространстве: «песочнице». Если устройство модифицировано, то нет возможности контролировать доступ к памяти приложений. Должны быть 2 сценария работы приложения: • На защищенном устройстве • На модифицированном устройстве Атака – вредоносное ПО может управлять трафиком Риск – 7/10 (пользователи обычно осознают риск)
  • 9. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 4: Утечка приватной информации в системные журналы (Android и iOS) Приложение записывает в системные журналы конфиденциальную информацию, например, тело POST-запроса. Модель атаки: Любое приложение с правами доступа чтения из системного журнала имеет доступ информации, которую записывают в него любые приложения Атака – утечка конфиденциальной информации Риск – 3/10 - 9/10 (зависит от информации)
  • 10. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 5: Использование дополнительных сервисов (Android и iOS) Обычно используют три сервера: • основной • геолокации и картографии • вспомогательной информации Вспомогательные сервера обделены вниманием ИБ Модель атаки: • перехват информации, отправляемой на мобильное устройство • дезинформация об услугах • перенаправление на «ложные» страницы Атака – дезинформация пользователей, фишинговые атаки Риск – 4/10 - 6/10 (зависит от информации)
  • 11. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 6: Утечка пользовательских данных при переходе в фоновый режим (iOS) При переходе приложения в фоновый режим iOS делает снимок экрана приложения, который сохраняется в домашней директории приложения по относительному пути Library/Caches/Snapshots/. На снимках экрана может содержаться конфиденциальная информация, что может привести к ее утечке. Атака – утечка конфиденциальной информации Риск – 3/10 - 8/10 (зависит от информации)
  • 12. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 7: Не отключение системного буфера обмена (Android и iOS) Если приложение не отключает системный буфер обмена, то пользовательские действия в контексте приложения записываются и могут быть прочтенными из системного буфер обмена Атака – утечка конфиденциальной информации Риск – 4/10
  • 13. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 8: Утечка информации через IPC (Android) Intent - объект, отвечающий за взаимодействие компонент Intent – не должен содержать конфиденциальную информацию Модель атаки: • процессы синхронизуются • Intent содержит конфиденциальную информацию • чужое приложение ее читает Атака – утечка конфиденциальной информации Риск – 3/10
  • 14. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 9: Незащищенные приемники широковещательных сообщений (Android) Intent выдают широковещательные сообщения, которые принимает широковещательный приемник Модель атаки: • приемник не защищен правами доступа • вредоносное ПО подделывает сообщения Атака – утечка конфиденциальной информации. Захват управления приложением Риск – 4/10
  • 15. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Number 10: Делегирование управления (Android) На платформе Android приложения могут делегировать управление другим приложениям, используя Intent Модель атаки: Если адрес Intent не определен, то чужое приложение может его захватить и перенаправить! Атака – утечка конфиденциальной информации. Захват управления приложением. Риск – 4/10
  • 16. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Выводы и заключение • Невозможно запретить людям пользоваться ПО только по задуманным разработчиками сценариям. • Сложно собрать команду разработчиков, которая не будет оставлять в ПО возможности для его альтернативного использования. • Можно защититься от успешной эксплуатации большинства уязвимостей!
  • 17. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Выводы и заключение Для начала уязвимости нужно выявить и оценить угрозу! Оставить как есть и исправить в следующей версии Срочно исправлять код!
  • 18. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Выводы и заключение Анализ кода от Jet Infosystems позволит вам получить полную информацию: • о защищенности приложения до того, как его «протестируют» на защищенность злоумышленники • о потенциальных угрозах, которыми подвергается ваш бизнес, эксплуатирую разработанное ПО • как не допустить эксплуатацию выявленных уязвимостей Принять правильное решение!
  • 19. Больше чем безопасность к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет» Спасибо за внимание Ваши вопросы 12 мая 2014 года