Veracode, поставщик решений в области облачных средств информационной безопасности, выпустил аналитический отчет о безопасности мобильных приложений. Компания провела оценку более 400 тысяч из самых популярных приложений, доступных в магазинах Apple и Google, и обнаружила, что 14 тысяч из них (порядка 3%), имеют проблемы с безопасностью. Среднее предприятие, сотрудники которого пользуются гаджетами с ОС Android или Apple, имеет около 2400 опасных приложений на мобильных устройствах, находящихся в корпоративной сети.
Для решения изучения этой проблемы, Veracode использовала облачное приложение безопасности, которое теперь интегрировано в пакеты управления мобильными решениями основных поставщиков MDM (mobile device management), в том числе AirWatch, VMware, MobileIron и Fiberlink, IBM. На основе анализа сотен тысяч мобильных приложений, установленных в реальных корпоративных средах – исследования проводились в различных отраслях промышленности, включая финансовые организации, СМИ, производство и телекоммуникационные компании – эксперты Veracode нашли 14 000 небезопасных приложений, из которых:
- 85% раскрывают конфиденциальные данные, такие как местоположение, контакты с сим-карты, историю, календарь, журналы SMS сообщений, идентификаторы устройств и информацию о текущих звонках;
- 37% выполняли подозрительные действия, такие как: проверка приложений и просмотр кэшированных учетных данных, например, банковских паролей, отключение антивирусов, имеет ли устройство root-доступ и была ли взломана или модифицирована операционная система, возможна ли запись разговоров и пр.;
- 35% приложений извлекали и передавали персональную информацию о пользователе злоумышленникам, которые по этим сведениям могли создать полный профиль человека и его социальные связи.
По данным исследований, опубликованных Gartner, в настоящее время более 75% мобильных приложений не проходят основные тесты корпоративной безопасности. В тоже время киберпреступники и спецслужбы разных государств стремятся воспользоваться небезопасными приложениями, чтобы похищать корпоративную интеллектуальную собственность, отслеживать высокопоставленных сотрудников предприятий или вести агрессивную рекламную кампанию. Такая ситуация создает проблему для предприятий, которые хотят повысить производительность труда работников и удовлетворить потребности сотрудников, обеспечивая возможность работы на собственных (Bring Your Own Device − BYOD) или корпоративных мобильных устройствах. Современные мобильные системы управления предприятием MDM и EMM разработаны так, чтобы проводить в жизнь корпоративную политику в отношении устройств, которыми управляют, но нуждаться в автоматизированном и масштабируемом механизме для поддержания актуальной информации приблизительно тысяч небезопасных приложений, которые постоянно добавляются в магазинах приложений по всему миру.
Так, по словам Теодоры Титонис, вице-президента Veracode, простейшие приложения типа фонарика на смартфоне передают своему разработчику сведения о геолокации и персональные данные пользователя. А популярная у пользователей разработка китайских программистов для прослушивания аудиокниг на устройствах с ОС Android, доступная через Google Play, − просто шпионский продукт, который собирает всю информацию о действиях пользователя, его контактах, передвижениях и действиях, оно может записывать аудио, читать корневую файловую систему, получать идентифицирующую информацию о пользователе, устройстве и операторе. Кому передается вся собранная информация, с какими целями она может быть использована, сказать сложно. Но она явно не нужна для оценки качества работы программы.
Для обеспечения безопасности необходимо или вручную составлять и вести «черный» список опасных приложений, что трудно из-за масштабов магазинов и постоянного обновления списка предлагаемых программ, или просто запрещать сотрудникам ставить сторонние приложения даже из официальных источников. Такая мера негативно скажется на работе организации (например, многие сотрудники возмутятся, если им запретят доступ к Angry Birds, Facebook и Netflix − эти приложения чаще всего попадают в запретные во многих компаниях, но не как представляющие опасность для организации, а как отнимающие рабочее время у работников). Мобильные решения Veracode позволяют создавать автоматизированные «черные» списки для всех основных систем мобильного управления бизнесом и предприятием (MDM/EMM), формировать единую политику безопасности, ограничить доступ к ресурсам компьютерной сети или к корпоративной почте и даже предусмотрена возможность удаления опасного для организации приложения. Предлагаемые компанией облачные решения постоянно улучшаются и обновляются, оценивают угрозы с помощью поведенческого анализа и технологий машинного обучения. Программы Veracode используются сотнями клиентов в различных отраслях экономики, в том числе они установлены в трети компаний из списка Fortune 500, в трех из четырех крупнейших американских коммерческих банков и на более 20 предприятиях из списка 100 самых ценных брендов по данным Forbes.
По оценкам Gartner, в 2014 году пользователями во всем мире загружено на мобильные устройства почти 139 млрд приложений. К 2017 году это значение вырастет почти до 269 млрд. «Предприятия, пользующиеся мобильными устройствами или внедряющие стратегию BYOD будут уязвимы к нарушениям защиты, пока не внедрят методы и технологии тестирования мобильных приложений на безопасность и не воспользуются страхованием от рисков», − считает ведущий аналитик Gartner Дионисио Зумерли (Dionisio Zumerle). Сегодня свыше 90% предприятий, внедряющих стратегию BYOD, пользуются сторонними мобильными приложениями. Поэтому так важно использовать механизмы проверки этих приложений, подчеркнул эксперт. Существующие последние 6-8 лет программы статического прикладного тестирования безопасности (SAST) и динамического прикладного тестирования безопасности (DAST) в скором времени изменятся, они обратят внимание на проблемы тестирования безопасности мобильных приложений. По мнению эксперта, в дополнение к SAST и DAST появится новый тип тестов − анализ на поведенческом уровне, годный для мобильных приложений. Технология тестирования должна контролировать запуск приложения, чтобы обнаружить скрытое злонамеренное и/или опасное поведение (например, при запуске аудиоплеера оно может проигрывать музыку и одновременно получать доступ к списку контактов или геолокации пользователя, вести передачу данных к некоторому внешнему IP-адресу).
Еще одна проблема – доступ с мобильного устройства к серверу компании как внутри корпоративной сети, так и снаружи. Мобильные клиенты общаются с серверами, чтобы получить доступ к базам данных предприятий. Отказ защитить сервер представляет угрозу потери данных сотен тысяч пользователей, потому пользовательские интерфейсы всех приложений должны быть проверены со стороны сервера с помощью различных технологий типа SAST и DAST. Также аналитики обращают внимание и на правильность настройки мобильных приложений, когда утечка информации становится результатом ошибки пользователя, а не действиями злоумышленников. В качестве примера эксперты приводят приложение для доступа к какому-либо бесплатному облачному сервису, в которое случайно могут попадать корпоративные данные, хранящиеся на смартфоне. Такая ситуация может привести к утечке коммерческих секретов. Впрочем, хакеры тоже не остаются в стороне от мобильных устройств. Число атак на гаджеты уже сейчас втрое превышает количество атак на рабочие станции.
.png)