Сегодня использование мобильных телефонов для доступа в различные системы стало повсеместным. Если ранее, когда возникали вопросы о безопасности используемых приложений, можно было обратиться к отчетам компаний по угрозам, количеству уязвимостей и атак на конкретные приложения, то сейчас пользователи не могут определить, насколько они защищены, подключаясь к своему интернет-банку, корпоративной системе документооборота или любому другому приложению.

И сложность обеспечения безопасности возрастает в том числе из-за использования различных платформ мобильных телефонов и их версий (Google's Android, Apple's iOS (iPhone/iPad), Java (J2ME/Java ME), Windows Mobile).

Конечно, наиболее критичными являются приложения, которые позволяют проводить финансовые операции, управлять денежными потоками.

Американская компания Viaforensics, которая занимается вопросами безопасности, провела независимое исследование мобильных приложений, связанных с финансами и предназначенных для обычных пользователей, а также корпоративных клиентов. Было протестировано около 30 программ для портативных устройств. Результаты оказались следующими: 25% из этих 30 нельзя назвать безопасными в плане защиты от несанкционированного доступа к финансовой информации. Эти 25% программ не смогли пройти испытания. Получается, что в среднем одна четверть таких приложений является небезопасной. Что же смогли установить исследователи? Некоторые приложения после определенных манипуляций позволяли восстановить историю платежей и другие аспекты финансовых сделок. В некоторых случаях были получены номера кредитных карт или их части. Более того, некоторые приложения хранили в своей кэш-памяти PIN-коды кредитных карт пользователя, а также его логины и пароли к различным финансовым системам.

В России использование мобильных приложений только набирает обороты. Активно обсуждаются вопросы защиты мобильных систем на конференциях, на форумах и блогах. И тем не менее, практически каждый банк уже предлагает воспользоваться подобной услугой, не говоря уже об интернет-магазинах и системах электронных кошельков, которые доступны через стандартный браузер и не требуют дополнительной аутентификации.

Эксперты компании Digital Security, которые специализируются на поиске и анализе уязвимостей в различных бизнес-приложениях и системах, подчеркивают, что для мобильных систем актуальны те же самые атаки через такие уязвимости, как хранение секретных данных в открытом виде, передача информации по небезопасным каналам, возможность внедрения SQL-операторов и использования уязвимостей межсайтового скриптинга (XSS), отсутствие проверок входящих данных, некорректные права доступа, слабая криптография. И именно поэтому важно уже сейчас обратить внимание на безопасность использования мобильных приложений и увеличение ее уровня для обеспечения достаточной защиты данных пользователей. Услуга Digital Security – аудит безопасности мобильных приложений– позволяет выявить найденные недостатки в процессе анализа, а также получить рекомендации по их устранению и улучшению безопасности приложения.

21 марта, 2012

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2026
Утечка данных из Telega «технически невозможна»
03.07.2026
В России появился антимошеннический оперштаб
03.07.2026
«Лаборатории разрабатывают технологию, но правила должны устанавливать граждане»
03.07.2026
Банки скоро предложат депозиты и кредиты в цифровых рублях?
03.07.2026
Microsoft ускоряет внедрение технологии Quantum-Safe
03.07.2026
Fable 5 и Mythos 5 возвращаются с новыми механизмами безопасности
02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных