Основные понятия и определения безопасности мобильных приложений. Безопасность мобильных банковских приложений. Чек-лист. Требования к мобильным приложениям систем управления контентом
Личные и командные.
В закладки
«Google Задачи »
- Платформы: Android, iOS, веб.
Стоимость: бесплатно.
Сервис для управления задачами с минимальным набором функций. Предназначен для личного использования. К веб-версии можно получить доступ из почты Gmail, из «Google Документов» или через мобильное приложение.
Сервис позволяет назначать время и дату для задач, добавлять подзадачи, формировать списки. Добавить подробное описание, приложить ссылку или файл невозможно. Интеграция со сторонними сервисами не предусмотрена.
Microsoft To-Do
- Платформы: Windows, Android, iOS, веб.
Стоимость: бесплатно.
Microsoft To-Do предназначен для личного управления делами. Продукт разработан на основе таск-менеджера Wunderlist - Microsoft планирует его закрыть. В сервисе поддерживается русский язык.
Microsoft To-Do позволяет создавать списки дел и задач, группировать их по темам, устанавливать напоминания, делиться списками с другими пользователями. Каждая задача может состоять из нескольких шагов (своего рода подзадач) и включать в себя подробное описание.
В сервис интегрируется папка «Задачи» в Microsoft Outlook.
«Планировщик » от Microsoft
Стоимость: входит в пакет Microsoft Office 365.
«Планировщик» от Microsoft входит в состав пакета Microsoft Office 365. От Microsoft To-Do сервис отличается тем, что предназначен для использования в команде. Приобрести сервис отдельно от других программ пакета невозможно. Русский язык поддерживается.
Сервис позволяет составлять планы дел, группировать списки задач, изменять статус. В карточки задач можно вкладывать файлы и ссылки. Сервис может отправлять уведомления сотрудникам по электронной почте.
Things
- Платформы: macOS, iOS.
- Стоимость: от $9,99.
Менеджер задач Things предназначен для личного использования. Предлагается с постоянной лицензией, но на каждое устройство её нужно приобретать отдельно. Русский язык поддерживается.
По времени задачи в Things распределяются по категориям «Сегодня», «Планы», «В любое время», «Когда-нибудь». Кроме того, списки задач можно разделить по виду деятельности. Для больших задач можно создавать проекты, которые будут состоять из нескольких этапов. Сервис позволяет добавить в карточку задачи чек-лист, описание, прикрепить ссылку на файл.
Интеграции с другими сервисами не предусмотрены.
24me
- Платформы: Android, iOS.
- Стоимость: от $3,99; есть бесплатная версия.
24me - приложение для управления и объединения календарей, заданий, заметок и личных счетов. Приложение русифицировано.
Сервис синхронизируется с календарями «Google Календарь», Microsoft Outlook, Microsoft Exchange, Yahoo! Calendar, Apple iCal и оповещает пользователя о предстоящих событиях. Перед запланированной встречей 24me может уведомлять о погоде и пробках на дорогах города.
В сервис интегрируется контакты, информация о вызовах, что позволяет планировать звонки, сообщения и осуществлять их через 24me.
Todoist
Платформы: Windows, macOS, Android, iOS, расширения для браузеров Google Chrome, Mozilla Firefox, Safari, веб.
Стоимость: от 2190 рублей в год; есть бесплатная версия.
Todoist - таск-менеджер, предназначенный как для личного, так и для командного использования. Сервис поддерживает русский язык.
Todoist позволяет создавать подзадачи, объединять задачи в проекты, поддерживает приоритизацию. В платных версиях можно получать напоминания в самом сервисе или по электронной почте, настраивать тему, добавлять собственные метки к задачам, прикреплять файлы, комментировать, оценивать выполненные задачи.
В версии «Бизнес» можно создавать команду и поручать выполнение задач сотрудникам, обмениваться комментариями, работать с шаблонами проектов.
Todoist поддерживает «Google Диск», Dropbox, Google Maps, Gmail, Outlook, Slack, PomoDome, «Time Доктор» и другие сервисы.
Wrike
Платформы: Windows, macOS, Android, iOS, веб.
Стоимость: от $9,8 в месяц за пользователя; есть бесплатная версия.
Сервис Wrike предназначен для управления задачами и проектами в командах, но может быть использован и в личных целях. Сервис полностью русифицирован.
В бесплатном тарифе может работать до пяти пользователей, объём облачного хранилища - 2 ГБ. В сервис можно интегрировать данные из Dropbox, «Google Диска», Microsoft Office 365 и других сервисов, задачи можно располагать на доске и в виде таблиц, пользователям можно предоставлять общий доступ к файлам.
В платных версиях поддерживается расширенная интеграция других сервисов, можно предоставлять доступ гостевым пользователям, объём облачного хранилища - от 5 ГБ (в зависимости от версии), есть диаграмма Ганта, пользователей можно разделять по группам с разным уровнем доступа.
LeaderTask
Платформы: Windows, Android, macOS, iOS.
Стоимость: от 170 рублей в месяц, есть бесплатная версия.
Сервис изначально был предназначен для личного планирования задач, но впоследствии был адаптирован и для командной работы. Русский язык поддерживается.
В LeaderTask можно группировать задачи в проекты, создавать подзадачи и подпроекты, прикреплять файлы, писать комментарии и заметки. Сервис поддерживает создание задач через отправку электронных писем с зарегистрированного аккаунта. Для командной работы доступен обмен комментариями.
Разработчики сервиса предлагают набор дополнительных инструментов для LeaderTask - собственный почтовый клиент, диаграмма Ганта, матрица «Срочно-важно», «Лестница целей», канбан-доска и так далее. Интеграций сторонних сервисов в приложение нет.
Focuster
Платформы: веб.
Стоимость: от $7,99 за пользователя в месяц. Бесплатной версии не предусмотрено.
Русский язык не поддерживается.
В Focuster можно интегрировать «Google Календарь», Microsoft Outlook, Office 365, iCloud - и в нём появятся списки задач и событий, указанные в данных календарях. Сервис может и сам создавать задачи и распределять их по проектам.
Кроме календарей в сервис можно интегрировать Trello.
Asana
Платформы: Android, iOS, веб.
Стоимость: от $6,25 в месяц за пользователя, есть бесплатная версия.
Сервис предназначен для управления задачами в небольших командах или индивидуальными пользователями. Бесплатная версия ограничена по функциональности и позволяет добавить в команду не более 15 человек. Русский язык не поддерживается.
В бесплатной версии продукта можно вести список задач, пользоваться календарем, систематизировать задачи по проектам. В платных версиях можно устанавливать зависимости в задачах, вести график, наблюдать за прогрессом сотрудников и так далее.
Asana поддерживает интеграцию данных из сторонних сервисов: Dropbox, Evernote, Google Drive, Jira, Slack, GitHub, GitLab и других.
Pyrus
- Стоимость: от 279 рублей в месяц за пользователя, есть бесплатная версия.
Платформы: Android, iOS, веб.
Сервис Pyrus предназначен для управления задачами и проектами в команде, но может быть использован и в личных целях. Сервис поддерживает русский язык.
В бесплатной версии Pyrus может работать неограниченное число пользователей, но команда не может создать более ста задач. Сервис позволяет прикреплять к задачам файлы, общаться сотрудникам между собой, создавать связанные списки задач. В платных версиях доступно неограниченное количество задач и по 10 ГБ облачного хранилища для каждого пользователя.
Сервис поддерживает интеграцию данных из «Google Диска», Dropbox, Box, OneDrive.
Trello
Платформы: Windows 10, Android, iOS, веб.
Стоимость: от $9,99 в месяц за пользователя, есть бесплатная версия.
Trello представляет собой канбан-доску со списками карточек, которую можно использовать для управления задачами как лично, так и в команде. В бесплатной версии можно интегрировать в Trello только один сервис, а размер вложенного файла не может превышать 10 МБ.
В платных версиях доступны дополнительные инструменты для командной работы, а также предлагается повышенный уровень безопасности (например, двухфакторная аутентификация). Сервис поддерживает русский язык.
В карточке можно обмениваться комментариями с другими пользователями, прикреплять участников, добавлять метки, использовать чек-лист.
В сервис можно интегрировать Jira, «Google Диск», Dropbox, Evernote, Slack, GitHub, GitLab и ещё несколько десятков сервисов.
Notion
- Стоимость: от $4 в месяц, есть бесплатная версия.
Платформы: Windows, macOS, Android, iOS, веб.
Notion - это облачный сервис для управления проектами, предназначенный как для индивидуального, так и для корпоративного использования. Помимо работы с задачами позволяет создавать документы и базы знаний. Русский язык не поддерживается.
Бесплатный тариф позволяет работать в сервисе неограниченному числу пользователей, но количество созданных блоков в базе знаний не может быть больше тысячи, и загружаемые файлы не могут превышать 5 МБ. Управление проектами организовано по системе канбан-досок.
В Notion можно интегрировать данные из «Google Документов», Slack, GitHub и других сервисов.
Basecamp
Платформы: Windows, macOS, iOS, Android, веб.
Стоимость: $99.
Сервис предназначен для управления задачами и организации командной работы. Стоит $99 вне зависимости от количества пользователей и используемых возможностей. Русский язык не поддерживается.
Basecamp позволяет составлять списки дел, расписание, хранить файлы в облачном хранилище (объём - 500 ГБ), переписываться в чате с сотрудниками, создавать неограниченное число проектов. По заявлениям разработчиков, сервис может заменить Asana, Slack, Dropbox и Google Suite.
Интеграции из сторонних сервисов у Basecamp нет.
«Битрикс24 »
Платформы: Windows, macOS, Linux, iOS, Android, веб.
Стоимость: от 990 рублей в месяц, есть бесплатная версия.
Сервис «Битрикс24» содержит не только возможности управления задачами и проектами, но и CRM, контакт-центр, конструктор сайтов, функции работы в команде. Команда до 12 человек может пользоваться сервисом бесплатно. Русский язык поддерживается.
В бесплатной версии доступны составление списков задач, канбан-доска, шаблоны задач, диаграмма Ганта, конструктор отчётов, планирование сроков и так далее. В платных версиях будут также доступны зависимости в Ганте, обмен шаблонами, пользовательские поля, восстановление удалённых задач из корзины.
«Мегаплан »
Платформы: Android, iOS, веб.
Стоимость: от 239 рублей в месяц.
«Мегаплан» - продукт российской компании, представляет собой сервис для управления задачами, который можно дополнить CRM-системой. Русский язык поддерживается.
Количество пользователей тарифными планами не ограничивается, объём облачного хранилища не ограничен. Во всех версиях можно ставить задачи, контролировать их выполнение, составлять отчёты, обмениваться документами, работать с календарём, переписываться с сотрудниками в бизнес-чате.
«Мегаплан» предлагает Rest.API для интеграции данных из сторонних сервисов, в частности, из «1С».
«Яндекс.Трекер »
Платформы: Android, iOS, веб.
Стоимость: от 81 рубля в месяц за пользователя.
Сервис «Яндекс.Трекер» предназначен для управления задачами и проектами в командах. Русский язык поддерживается.
С помощью сервиса можно создавать списки задач, группировать их по проектам, назначать исполнителей, формировать очереди задач, работать с шаблонами. В карточке задачи можно писать комментарии, подробное задание, добавлять файлы и ссылки. Сервис позволяет учитывать время работы над задачами. Поддерживается работа по методологии Agile.
«Яндекс.Трекер» можно использовать в составе «Яндекс.Коннекта». Интеграцию из сторонних сервисов можно настроить по API.
Jira
Платформы: Android, iOS, веб.
Стоимость: от $7 в месяц за пользователя.
Сервис работает по Agile-методу и предназначен для команд разработчиков. Русский язык поддерживается.
Jira позволяет создавать списки задач, распределять их между членами команды, отслеживать выполнение, обмениваться мнениями. Сервис посылает уведомления об изменениях в карточках задачи. Каждая команда может создать собственный вид процесса работы над продуктом. В карточке задачи можно добавлять собственные поля. Сервис позволяет составлять отчёты и следить в реальном режиме за выполнением задач.
Jira поддерживает интеграцию данных из более чем 3000 сервисов.
Сводная таблица по сервисам
Сервисы, предложенные читателями
TakeWith
Планировщик задач, предназначенный для личного использования. Работает только на устройствах Android. Основные возможности - создание задач и подзадач, их группировка, интеграция с календарём Google, привязка к задачам мест, вещей, возможность настройки доступа к задачам по отпечатку пальца.
2Do
Сервис для управления делами, рассчитанный для личного использования. Работает на macOS, iOS и Android. Позволяет создавать задачи, группировать их в списки, настраивать повтор, оповещения, добавлять к задачам теги. Есть защита списков паролем. Стоимость постоянной лицензии - от $57,61.
OmniFocus
Приложение для управления делами и проектами, предназначенное для личного использования. Работает только на устройствах с macOS и iOS. Позволяет группировать задачи по проектам, пользоваться системой тегов и так далее. Приложения для macOS и iOS приобретаются отдельно. Стоимость - от $39,99 за лицензию. Русской версии нет.
Blueskyme
Сервис для управления делами, работает на устройствах Android и iOS. Поддерживает синхронизацию с «Google Календарём».
Any.do
Сервис для управления задачами и делами, предназначенный для личного использования. Позволяет формировать списки дел и задач, устанавливать напоминания, поручать задачи другим пользователям. Сервис бесплатен, но есть платная премиум-версия стоимостью $2,99 в месяц.
TickTick
Сервис для управления задачами, предназначенный для личного и командного использования. Позволяет устанавливать напоминания, работать с задачами в календаре, назначать задачи сотрудникам. Стоимость - $27,99 в год, есть ограниченная бесплатная версия. Локализации на русский язык нет.
Worktek
Сервис для повышения личной и командной эффективности. Включает в себя управление информационными потоками, работу с целями и задачами, анализ прогресса. Позволяет хранить файлы на сервере. Есть веб-версия и мобильные приложения. Стоимость - 29 рублей в день.
Worksection
Система для управления проектами в команде. Позволяет создать иерархическую структуру команды, назначить ответственных и администраторов, вести проекты и задачи, контролировать и анализировать их выполнение. Сервис стоит от $29 в месяц, есть ограниченная бесплатная версия.
«ПланФикс »
Сервис для организации совместной работы команды. Включает в себя работу с проектами и задачами, CRM-систему, сервис поддержки клиентов, организацию командной работы. Есть веб-версия и мобильные приложения. Стоимость сервиса - от €2 за пользователя в месяц. Есть бесплатная версия для команд до пяти человек.
MeisterTask
Сервис для управления задачами и проектами, предназначенный для командной работы. Позволяет создавать задачи, отслеживать их выполнение, поддерживает интеграцию с MindMeister, Slack, Zendesk, Freshdesk, GitHub и другими сервисами. Стоимость - от $8,25 в месяц за пользователя, есть ограниченная бесплатная версия.
« »
Система для управления бизнесом. Включает в себя корпоративный сайт, контроль поручений, CRM-систему, управление проектами, электронный документооборот, сервис для сбора идей и предложений. Стоимость - от 175 рублей в месяц за одного пользователя.
В прошлом году исследовательский центр Digital Security выпустил отчет «Результаты исследования безопасности банк-клиентов российских производителей за период 2009-2011 гг.», где мы поделились своим опытом анализа систем ДБО и неутешительными результатами оценки их безопасности.
Мы не стоим на месте и стараемся делать сегодня то, что будет востребовано завтра. В этом исследовании описаны угрозы, уязвимости и векторы атак для банк-клиентов, разработанных для мобильных платформ (Android и iOS).
Идет активное развитие мобильных технологий, современные требования бизнеса таковы, что доступ к информации должен осуществляться быстро, надежно и из любой точки мира. Платежные приложения не являются исключением, и они постепенно появляются на наших мобильных устройствах (смартфонах, планшетах и т.д.). Мобильные устройства пока еще недостаточно изучены, и каждая мобильная ОС (Android, iOS, Windows Phone, Symbian, BlackBerry и т.п.) имеет свою специфику, поэтому в каждой из них можно обнаружить большое количество как новых уязвимостей, так и хорошо известных.
Были изучены мобильные банковские приложения для таких банков, как:
Альфа-Банк,
Банк «Санкт-Петербург» Банк «Балтика», Банк24.ру,
Банк БФА,
ВТБ, ВТБ 24, Газпромбанк, Инвестбанк, Крайинвестбанк,
Мастер-Банк,
МДМ Банк,
Московский Индустриальный Банк,
Московский Кредитный Банк, Мордовпромстройбанк,
МТС-Банк,
Народный кредит,
НОМОС-Банк,
Первобанк,
ПримСоцБанк,
Промсвязьбанк,
РосЕвроБанк,
РосИнтерБанк,
Русский Стандарт,
Сбербанк,
Связь-Банк,
Смоленский Банк,
Тинькофф Кредитные Системы, УБРиР,
Финансовая группа Лайф,
Ханты-Мансийский Банк, ЮниКредитБанк
и другие.
Мобильные банковские приложения для iOS
Лишь небольшое количество мобильных банков реализуют механизмы защиты. Все рассмотренные приложения содержат хотя бы одну уязвимость.
Большая часть приложений для iOS не используют параметры компиляции, предназначенные для защиты от эксплуатации ошибок, связанных с некорректной работой с памятью.
Мобильные банковские приложения для Android
На основе полученных результатов мы составили топ-10 мобильных банков для iOS и Android с наименьшим числом угроз. При составлении рейтинга программе присваивался 1 балл при наличии защитного механизма или отсутствии небезопасного API определенного класса, и 1 балл вычитался в противоположном случае. Стоит заметить, что 4 банка попали в оба рейтинга.
Топ-10 для iOS | Топ-10 для Android |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Мастер-Банк | Банк «Санкт-Петербург» | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Финансовая группа Лайф | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
РосЕвроБанк | РосЕвроБанк | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Московский Кредитный Банк | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Банк «Народный кредит» | Примсоцбанк | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Сбербанк | Банк «Русский Стандарт» | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Банк «Санкт-Петербург» | Инвестбанк | OC Android и iOS наиболее распространены на сегодняшний день и имеют наибольшее количество мобильных банковских приложений в своих магазинах (Google Play и App Store соответственно). ОС Windows Phone достаточно молода и еще не так распространена среди пользователей, но уже сейчас имеет в своем магазине (Windows Store) небольшое количество мобильных банковских приложений. В данное исследование банковские приложения для ОС Windows Phone не включены из-за их малого количества на данный момент (в Windows Store их всего 9). Но с учетом появления Windows Phone 8, содержащей новую модель разработки, позволяющую (благодаря легкому портированию) одновременно разрабатывать приложения для обычной ОС Windows 8 и мобильной, можно ожидать рост популярности разработки под Windows Phone 8. Приложения для мобильных устройств можно классифицировать по множеству критериев, но в контексте безопасности приложений нас интересуют следующие: по месту расположения приложения и по типу используемой технологии передачи данных. По месту расположения приложения: SIM-приложения - приложение на SIM-карте, написанное в соответствии со стандартом SIM Application Toolkit (STK); Web-приложения - специальная версия web-сайта; Мобильные приложения - приложение, разработанное для определенной мобильной ОС с использованием специализированного API, устанавливаемое в смартфон. По типу используемой технологии взаимодействия с сервером: Сетевые приложения - используют собственный протокол общения поверх TCP/IP, например HTTP; SMS-приложения - приложение на основе SMS (Short Messaging Service). Приложение обменивается с сервером информацией с помощью коротких текстовых сообщений; USSD-приложения - приложение на основе USSD (Unstructured Supplementary Service Data). Сервис основывается на передаче коротких сообщений, схожих с SMS, но имеет ряд отличий; IVR-приложения - приложение, базирующееся на технологии IVR (Interactive Voice Response). Система основана на заранее записанных голосовых сообщениях и тональном наборе. Именно приложения, разработанные для определенной мобильной ОС с использованием специализированного API, устанавливаемые в смартфон для взаимодействия с соответствующим банковским сервисом, сейчас наиболее распространены, так как полностью используют возможности мобильного аппарата и имеют наиболее дружественный пользовательский интерфейс. Их мы и рассматриваем в данном исследовании. Типы приложений для мобильного банкинга К категории «без доступа к счету» относятся такие программы, которые выполняют лишь вспомогательную работу. Эти функции могут присутствовать и в приложениях, у которых есть возможность работать со счетом. Часто мобильное приложение эволюционирует из простого навигационного приложения в приложение с возможностью работы со счетом. Некоторые банки, наоборот, предпочитают разносить эти функции на несколько приложений, что, с нашей точки зрения, правильно: если критичное приложение (производящее платежные операции) не перегружается лишним функционалом, количество векторов атаки, доступных злоумышленнику, уменьшается. В данном исследовании изучались приложения с доступом к счету. Во время анализа защищенности мобильного приложения производится оценка защищенности трех основных компонентов: серверной части, клиентской части и канала связи. Методы оценки безопасности клиентского приложения: 1. Динамический анализ: · Отладка запущенного приложения (на эмуляторе или устройстве);
· Анализ взаимодействия с файловой системой;
2. Статический анализ: · Анализ исходного кода (если доступен); Обратное проектирование (Reverse Engineering): o Дизассемблирование; o Декомпиляция; · Анализ полученного представления на слабые участки кода. 1. Злоумышленник, имеющий физический доступ к устройству клиента. При этом на устройстве не включена блокировка экрана и не используется шифрование. 2. Злоумышленник, не имеющий доступ к устройству, находящийся рядом с жертвой и способный провести атаку типа «человек посередине». 3. Злоумышленник, который загрузил на устройство клиента свое вредоносное приложение, используя официальные магазины приложений или иные способы. Атаки на серверную часть ничем не отличаются от атак на обычные системы ДБО, рассмотренных в отчете Digital Security «Результаты исследования безопасности банк-клиентов российских производителей за период 2009-2011 гг.» iOS - это мобильная операционная система от компании Apple. Данная операционная система предназначена только для устройств от компании Apple: iPod, iPhone, iPad и Apple TV. iOS базируется на Mac OS X. Для распространения приложений для данной платформы используется специальный магазин – App Store. Для разработки используется язык Objective-C, который является компилируемым объектно-ориентированным языком программирования. Objective-C построен на основе языка программирования Си и парадигм языка программирования Smalltalk. Статистика по разработчикам приложений для мобильного банкинга российских банков с доступом к счету для iOS График появления банковских мобильных приложений для iOS На основании данной информации можно сделать выводы как о частоте обновления, так и о безопасности приложений. Так, в SDK 4.3 используется протокол TLS 1.0, который поддерживает 29 типов шифрования, из которых 5 являются слабыми. Приложения, использующие данную версию SDK, потенциально могут быть скомпрометированы. Из последующих версий SDK данные типы шифрования убрали. Параметр компиляции PIE PIE (Position Independent Executable) - это специальный механизм, который задается параметром компиляции и относится к классу параметров безопасности, нацеленных на усложнение процесса эксплуатации ошибок, связанных с некорректной работой с памятью. Позволяет использовать все преимущества ASLR (Address Space Layout Randomization). ARC (Automatic Reference Counting) - это специальный механизм, который задается параметром компиляции и который косвенно можно отнести к классу параметров безопасности. Берет на себя работу по управлению памятью и помогает избежать ошибок, связанных с утечкой памяти и неправильной работой с указателями, приводящих к уязвимостям типа use-after-free и double free. Некорректная работа с SSL Для работы с SSL-соединением существует ряд функций, использование которых приводит к отключению проверки сертификата. Разработчики используют их в процессе тестирования приложения и часто забывают убрать соответствующий код перед публикацией приложения в App Store. В результате злоумышленник способен провести атаку «человек посередине», прослушивать данные между клиентом и сервером и манипулировать ими в своих целях. Например, он сможет подменять данные платежей или переводов. Keychain в iOS - это специальное зашифрованное хранилище, предназначенное для хранения критичной информации приложений. Отсутствие keychain не означает, что приложение хранит свои данные в открытом виде. Приложение может вообще не хранить на клиентском устройстве критичные данные или хранить их в своих локальных файлах, используя стандартные или свои собственные функции шифрования. После применения jailbreak к устройству данные из keychain могут быть прочитаны в открытом виде. В случае использовании локального файла как хранилища критичной информации он может быть удаленно прочитан злоумышленником. Наилучшее решение - не хранить никакой критичной информации на устройстве. К сожалению, это не всегда возможно. XXE (XML eXternal Entity) - атака, с помощью которой злоумышленник может внедрять внешние или внутренние сущности (entities) в XML-запрос, и они будут соответствующим образом обработаны системой. В результате атаки злоумышленник имеет возможность читать произвольные файлы в директории приложения, если устройство не имеет jailbreak, и любые файлы, если устройство имеет jailbreak (при jailbreak механизм sandbox выключен). Это значит, что возможно чтение любых конфиденциальных файлов приложения. Кроме того, злоумышленник имеет возможность вызвать отказ приложения в обслуживании.
|
Ob Sie als Kleinunternehmer oder für einen multinationalen Konzern tätig sind, die sollte jeden im Unternehmen angehen und zu den vordringlichsten Aufgaben der IT gehören. Der unaufhaltsame Trend zur Cloud und die neue BYOD-Mentalität (Bring Your Own Device) führen dazu, dass praktisch jeder Mitarbeiter zu jeder Zeit Zugriff auf Ihre Unternehmensdaten hat. So sind Ihre Daten Sicherheitsrisiken durch Hacker, Viren und andere Angreifer ausgesetzt.
Möglicherweise ist Ihnen die Situation bereits bewusst, sodass Sie Vorkehrungen zum Schutz mobiler Daten getroffen haben. Allerdings stellt sich die Frage, ob Ihre Sicherheitslösung genügend Schutz vor der zunehmenden Bedrohung mobiler Daten gewährleistet. Hier einige Funktionen, auf die es bei der Wahl der richtigen ankommt.
- Container oder Personas auf Geräteebene: Mithilfe von Containern oder Personas auf Geräteebene kann Ihr IT-Team auf dem BYOD-Gerät eines Nutzers eine Umgebung oder einen Container einrichten, in dem Ihre Geschäftsanwendungen ausgeführt und durch spezifische Protokolle geschützt werden. So muss das Sicherheitskonzept nicht auf das gesamte Smartphone angewendet werden, Ihre Daten sind trotzdem geschützt, und das Gerät kann weiterhin uneingeschränkt für private Zwecke genutzt werden.
- Mobile Application Management (MAM): MAM trägt zum Schutz mobiler Daten bei, indem Ihr IT-Team Mitarbeitern den Zugriff auf spezifische Anwendungen ermöglicht, die sie für die Arbeit nutzen dürfen. Da die Anwendungen vom IT-Team überwacht werden, können sie jederzeit per Remotezugriff entfernt werden. Dies ist von Vorteil, wenn ein Mitarbeiter sein Gerät verliert oder das Unternehmen nicht im Einvernehmen verlässt.
- Verschlüsselungsprotokolle: Mobile Sicherheitslösungen bieten auch die Möglichkeit, Verschlüsselungsprotokolle und -technologien zu kombinieren, um Ihre Daten praktisch überall zu schützen. Eine Lösung sollte Protokolle und Technologien kombiniert nutzen, beispielsweise Transport Layer Security/Secure Sockets Layer (TLS/SSL), Internet Protocol Security (IPsec), Advanced Encryption Standard (AES)-256 und BitLocker-Verschlüsselung. So dehnen Sie Ihr Sicherheitsnetz aus und können Ihre Daten umfassender schützen als mit einer Lösung, bei der nur eines dieser Protokolle zum Einsatz kommt.
- Multi-Factor Authentication: Eine Lösung, die mehrstufige Authentifizierung (Multi-Factor Authentication) und SSO (Single Sign-On) unterstützt, bietet nicht nur sicheren Zugang zu Daten und Anwendungen, sondern ermöglicht Ihrem Team auch die einfache Nutzung der benötigten Dateien. Die Authentifizierung lässt sich beispielsweise durch einen Telefonanruf, eine SMS oder eine Benachrichtigung auf dem Mobilgerät verifizieren und ist schnell und einfach bestätigt. Einige Multi-Factor Authentication-Lösungen bieten zudem Sicherheitsüberwachung in Echtzeit und nutzen auf Machine Learning basierende Berichte. Durch die Identifikation inkonsistenter Anmeldemuster lassen sich verdächtige Aktivitäten ermitteln, auf die das IT-Team sofort reagieren kann.
Die Nutzung privater Geräte in Unternehmen jeder Größe boomt. Deshalb reicht es längst nicht mehr aus, nur Mobilgeräte zu schützen. Stattdessen benötigen Sie eine umfassende Datenschutzstrategie, die alle Möglichkeiten des mobilen Datenzugriffs abdeckt. Keine Sicherheitslösung kann Ihr Unternehmen vollständig vor Bedrohungen schützen. Sie sollten auf ein Paket setzen, das verschiedene Maßnahmen bündelt, regelmäßig aktualisiert wird und sowohl nationale als auch internationale Normen erfüllt. So sorgen Sie dafür, dass Ihre Daten nach neuesten Sicherheitsstandards geschützt sind – egal, wo oder wie darauf zugegriffen wird.
Анализ содержимого магазинов приложений для Apple- и Android-устройств выявил 14тыс. сомнительных программ.
Всего же эксперты изучили порядка 400 тыс. приложений, которые обычно устанавливаются сотрудниками корпораций, специализирующихся на самых разных отраслях - финансовых услугах, СМИ, телекоммуникациях и так далее. Выяснилось, что 3% из исследованных программ сталкиваются с проблемами безопасности.
В частности 85% такого рода приложений не обеспечивают надежную сохранность важной конфиденциальной информации - например, такой, как местоположение абонента, история, контакты, отметки в календаре, SMS сообщения, идентификаторы устройств.
Кроме того 32% из 14 тыс. приложений выполняют подозрительные действия. Скажем эти программы требуют права администратора, что в конечном счете может позволить им удалять, устанавливать или запускать другие приложения, прослушивать телефонные разговоры, отключать антивирусное ПО, просматривать данные КЭШа, куда возможно, попадут и банковские пароли.
35% приложений стремятся получать и пересылать личную информацию пользователя - историю браузера, пометки в календаре, перемещение человека. В итоге злоумышленники предоставляется шанс составить полный профиль пользователя и его социальных связей.
Эксперты предупреждают о серьезной опасности, которое таит в себе это программное обеспечение. По словам представителей Veracode, все ответственные лица уведомлены о сомнительных приложениях, причем, как сообщает CSO, программы все еще доступны в магазинах и их можно скачать. Так, китайское приложение по прослушиванию аудиокниг Lazy Listen уже проинсталлировано 500 тыс. раз, однако при установке оно запрашивает разрешение на функционал практически программы-шпиона. Как говорят из Veracode, собираемая приложением информация не используется для улучшения качества обслуживания абонентов.
Отчет, опубликованный компанией FireEye, рисует мрачную картину уязвимости приложений для iOS и Android, которые были загружены в совокупности более 6 млрд. раз. Это по-прежнему так, по данным FireEye, даже после того, как Apple выпустила патч, исправляющий уязвимости iOS: «Даже после патчей для Android и iOS такие приложения все еще уязвимы для FREAK, когда устройство подключается к серверам, которые принимают шифры RSA_EXPORT».
Атака FREAK возможна, потому что серверы можно вынудить принимать 512-битные ключи RSA, одобренные правительством США для отправки на экспорт (устаревший артефакт, который как считалось, может перехватывать зашифрованный трафик и дешифровывать его, используя достаточно скромные вычислительные ресурсы).
FireEye сообщила, что просканировала 11 тыс. приложений в Google Play, каждое из которых было скачано не меньше миллиона раз, и обнаружила 1228 приложений, подверженных риску из-за использования уязвимой библиотеки OpenSSL для подключения к уязвимому серверу. 664 из них использовали библиотеку OpenSSL, идущую с Android, а 564 - библиотеку, скомпилированную отдельно. По данным FireEye, на стороне iOS проблема менее серьезна: из 14 тыс. сканированных приложений 771 подключалось к уязвимым серверам HTTPS. «Эти приложения уязвимы для атак FREAK под iOS версии ниже, чем 8.2, - написали исследователи. - Семь приложений из этих 771 пользуются собственными уязвимыми версиями OpenSSL, и они остаются уязвимыми и на iOS 8.2». Большинство уязвимых приложений попадают в категории, которые влияют на неприкосновенность частной жизни и информационную безопасность пользователей, и включают в себя фото- и видео-приложения, приложения социальных сетей, приложения, касающиеся здоровья и фитнеса, финансов, коммуникаций, шопинга, образа жизни, бизнеса, а также медицинские приложения. 512-битные ключи являются артефактом криптографических воин - правительство США одобрило их для экспортного использования. Большинство экспертов полагали, что поддержка ослабленных криптопакетов была удалена с большинства серверов, но это было не так до сообщения, сделанного Microsoft Research и INRIA (национальный исследовательский институт во Франции, работающий в области компьютерных наук, теории управления и прикладной математики).
Исследование Королевского колледжа так же продемонстрировало, что администраторы серверов и крупные технологические провайдеры оперативно искореняют поддержку ослабленных криптопакетов. Изначальные расчеты показывали 26% серверов, уязвимых для FREAK, но Королевский колледж определил, что это число упало примерно до 11%. При этом эксплойты FREAK имеют свои ограничения, согласно мнению экспертов, так как требуют активного вмешательства злоумышленника в TLS - подключения, то есть у них уже должен быть доступ к серверу. Тод Бредсли (Tod Beardsley), главный инженер в Rapid7, сообщил, что практический эффект от этого бага ограничен. «Из-за требования активного «человека посередине» этот баг может быть весьма полезен для шпионов, атакующих определенных пользователей в среде сетей высокого уровня безопасности, - сказал он. - Это не очень полезно для типичных интернет-преступников, так как есть гораздо более простые способы, чтобы перенаправлять и собирать пользовательский трафик при разных уровнях сложности».
Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекциям, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS - одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы для XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в Росси операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.
Почему подвергались атаке именно эти операционные системы? OC Android и iOS наиболее распространены на сегодняшний день и имеют наибольшее количество мобильных банковских приложений в своих магазинах Google Play и App Store соответственно). При физическом доступе злоумышленник может получить доступ к файловой системе. Если приложение хранит аутентификационные данные или другие критичные данные в открытом виде, то для злоумышленника несложно получить эти данные и украсть деньги.
Для атаки через вредоносное приложение необходимо установить вредоносное программное обеспечение, используя метод социальной инженерии или через атаку Drive-by-Dowload.
После установки вредоносного приложения злоумышленник может поднять свои привилегии в системе, используя эксплойт для уязвимости ОС смартфона, и получить удаленный доступ к устройству с полными правами доступа, что приведет к полной компрометации устройства: злоумышленник сможет украсть критичные данные пользователя мобильного банкинга или подменять данные платежных операций.
Атаки на канал связи: в ходе классической атаки «человек посередине» перехватываются данные между устройством клиента и сервером. Для этого необходимо находиться в одной сети с жертвой, например в публичной сети Wi-Fi или использовать поддельные беспроводные точки доступа и поддельные базовые станции. Необходима уязвимость в мобильном приложении некорректная работа с шифрованием передаваемых данных или полное отсутствие шифрования данных. Самый распространенный пример - неправильная работа с SSL. В результате злоумышленник может прослушивать и подменять передаваемые данные, что может в итоге привести к краже денежных средств со счета клиента. Стоит так же отметить, что jailbreak устройство (iOS) или наличие root-доступа на устройстве (Android) пользователя значительно снижает уровень защищенности устройства и упрощает атаку для злоумышленника.
Приложения для мобильных платформ подвержены как старым общеизвестным угрозам, так и новым, ещё не изученным до конца. Растет уровень распространения вредоносных приложений для Android.
Угрозы безопасности мобильных банков создают риск компрометации критичных данных пользователей, хищения денежных средств и нанесения ущерба репутации банка. Разработчики мобильных банк-клиентов не уделяют достаточного внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. У разработчиков зачастую отсутствуют процессы разработки безопасного кода и архитектуры.
Проведенное исследование, основанное на статическом анализе кода, показывает, что мобильные банки содержат уязвимости и недостатки, которые могут привести к хищению денежных средств. Уровень защищенности мобильных банков в большинстве случаев не превосходит уровня защищенности обычных мобильных приложений, в то время как связанные с ними риски подразумевают повышенные требования по безопасности.
Перед началом исследования предполагалось, что количество специфичных уязвимостей для мобильной платформы будет значительно преобладать над количеством общеизвестных. Но в результате можно увидеть примерно одинаковое количество уязвимости обоих классов. Это означает наличие возможности проведения хорошо известных атак и на мобильные банковские приложения без знания их специфики.
У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низким по сравнению с возможной выгодой.
Современные средства защиты для мобильных устройств - антивирусы MDM -решения и т.д. могут сократить риск, но не решить весь спектр проблем. Безопасность должна внедряться на этапе проектирования системы и присутствовать на всех этапах жизненного цикла программы, включая этап разработки и внедрения. Необходимо осуществлять аудит кода, анализ защищенности приложения, тестирование на проникновение.
Риски при использовании мобильного банкинга обратно пропорциональны защищенности приложения. Поэтому необходим комплексный аудит защищенности мобильных банковских приложений. Специалисты по информационной безопасности банков должны уделять безопасности мобильных банков не меньше внимания, чем безопасности интернет - банков.