В 5 раз выросло число хакерских атак на мобильные телефоны. Как компаниям обезопасить клиентов приложений?

— Для компаний какого масштаба и каких отраслей подходит ваша платформа?

— «Стингрей» — это платформа автоматизированного анализа защищенности мобильных приложений. Она эффективно отрабатывает свои функции как для небольших приложений, которыми компании пользуются внутри своей инфраструктуры для поддержания рабочих процессов и коммуникаций, так и для крупных программных продуктов с сотнями тысяч пользователей. В числе клиентов платформы есть такие игроки, как СберБанк, Почта России, HeadHunter и другие.

— С какими задачами к вам обращаются клиенты?

— Задача каждого бизнеса состоит в том, чтобы защищать клиентов. Многие компании сегодня используют мобильные приложения — это эффективный инструмент, который позволяет сделать коммуникацию с пользователями более удобной, оптимизировать взаимодействие и внести в него развлекательный элемент. Но мобильные продукты не меньше другого ПО нуждаются в защите, поскольку зачастую они хранят и обрабатывают большое количество конфиденциальной информации пользователей, например логины, пароли, паспортные данные.

К нам обращаются компании, которые:
• Разрабатывают приложения для себя;
• Разрабатывают приложения на заказ;
• Используют разработанные сторонним подрядчиком приложения;
• Проводят анализ защищенности приложений.

Клиенты из первых трех категорий чаще всего приходят к нам с запросами на то, чтобы встроить платформу в процесс разработки приложений, используя парадигму «shift everywhere», то есть подразумевая предрелизную проверку сборок. Благодаря готовым интеграциям и гибким форматам платформа легко внедряется в любой трек и по итогам анализа выдает детальные рекомендации по устранению найденных уязвимостей, что сокращает временные и финансовые затраты заказчика на разработку. В целом, проверки безопасности, проводимые с помощью «Стингрей», позволяют существенно снизить риски утечек данных и нарушения бесперебойного функционирования мобильных приложений.  

Для последней категории клиентов, которая встречается реже по сравнению с остальными, «Стингрей» является удобным и быстрым решением для проверки готовых мобильных продуктов. Инструмент забирает на себя большую часть работы по анализу защищенности.

— Расскажите об исследовании безопасности мобильных приложений, которое вы проводили, какие результаты получены?

— Эксперты компании «Стингрей Технолоджиз» проанализировали мобильные приложения российских разработчиков на наличие уязвимостей. Наша цель заключалась в том, чтобы понять состояние рынка и оценить потенциал реализации платформы в отечественной индустрии. Мы проанализировали 790 оригинальных приложений, доступных для скачивания в магазинах приложений. Исследование проводилось методом черного ящика: эксперты не имели доступа к исходному коду. Безопасность приложений проверялась с помощью платформы «Стингрей».  
Эксперты оценивали каждую обнаруженную уязвимость и исследовали возможные векторы атак. В рамках анализа были рассмотрены 20 типов уязвимостей из четырех категорий:
• Сетевое взаимодействие;
• Конфигурация приложения;
• Хранение ключей и сертификатов;
• Хранение чувствительной информации.

При оценке уровня риска найденных уязвимостей учитывались сложность проведения потенциальных атак, а также степень их влияния на пользовательские данные и само приложение.
Таким образом, были выделены пять уровней риска:
• Critical (критичный);
• High (высокий);
• Medium (средний);
• Low (низкий);
• Info (инфо).

Всего в 790 приложениях было обнаружено 12 383 уязвимости всех типов. 83% мобильных приложений содержали уязвимости уровней critical и high.

Таким образом, мы выяснили, что практически ни одно российское мобильное приложение не гарантирует безопасность личных данных пользователей, что в будущем может привести к еще большему росту мошеннической активности и увеличению числа проектов для компаний из сферы кибербезопасности.

— Какие тренды в сфере безопасности вы могли бы отметить?

— Ключевой фактор, повлиявший на ИБ-рынок в прошлом и текущем году, — стремительный рост атак на продукты российских компаний из госсектора и различных сфер бизнеса, а также активная позиция правительства и регуляторов по популяризации и укреплению практической, результативной кибербезопасности. Тренд на атаки коснулся и мобильных приложений, в том числе. В прошлом году такие продукты подвергались нападениям в пять раз чаще, чем в предыдущем.

Рост числа киберугроз, с одной стороны, привел многие компании к негативным последствиям, но с другой — сподвиг игроков серьезнее относиться к безопасности мобильных приложений.

— Можно ли посчитать выгоду от использования вашего продукта?

— Разумеется. Во-первых, платформа защищает от серьезных рисков потери данных клиентов. Здесь убытки могут исчисляться миллионами, а мы помогаем заранее их устранить. Также наш продукт экономит время дорогостоящих ИТ-специалистов, мы автоматизируем рутинные процессы проверки безопасности и нет необходимости «забивать гвозди золотым микроскопом».

— Планы развития вашей компании?

— Наши планы амбициозны. Мы хотим, чтобы платформа стала стандартом в области анализа мобильных приложений не только для больших компаний, но и для малого бизнеса и даже для отдельных разработчиков, которые заботятся о безопасности своих пользователей.

Безусловно, мы будем и дальше расширять функционал нашего продукта для обнаружения новых, более сложных уязвимостей, поиск которых ранее было невозможно автоматизировать.

В ближайших планах — анонс результатов нашего регулярного исследования на новых приложениях и с новым функционалом нашей системы (релиз состоялся в августе), чтобы отследить, как поменялась ситуация с уровнем безопасности в отрасли.

Мы постоянно инвестируем в исследования новых методов анализа защищенности мобильных приложений и инвестиции приносят плоды. Летом 2024 ждите обновленную платформу с существенно расширившимся инструментарием.