Безопасность данных в мобильных приложениях

Миссия выполнима
Безопасность данных на сегодняшний день остается одной из самых обсуждаемых тем для разработчиков, сотрудников и руководителей отделов ИТ-безопасности. По данным eMarketer, этот вопрос является наиболее животрепещущим для 60% топ-менеджеров крупных компаний.

Взлет популярности мобильных приложений за последние несколько лет обусловлен тем, что сложные технологии стали более адаптированы под обычного пользователя и ежедневное использование приложений стало обыденным делом для трети россиян.Согласно отчету Comscore, число мобильных пользователей превзошло число пользователей ПК еще в 2014 году. По данным отчета аналитической компании App Annie следует, что доходы издателей от приложений в App Store и Google Play выросли на 40% в 2016 году и составили $35 млрд. Необходимость обезопасить мобильные приложения возросла в связи с широким распространением мобильных приложений на все сферы электронных услуг, включая финансовые, банковские операции, хранение и передачу личных данных и параллельным ростом числа интернет-мошенников. Консалтинговая компания Gartner предсказывает, что в течение 2017 года 268 миллиардов загрузок будет генерировать 77 миллиардов долларов дохода.
Аргументы и факты
Компания NowSecure (ранее Viaforensics) провела уникальное исследование в области оценки защищенности мобильных приложений, которое дало неожиданные результаты. Аналитики компании случайным образом отобрали 30 популярных мобильных приложений и подвергли их тщательной проверке на надежность. Около четверти заявленных систем защиты данных были вскрыты путем взлома и названы небезопасными. Также специалисты с помощью внешнего воздействия достали из памяти устройств сохраненные pin-коды и номера кредитных карт. Более того, в ряде случаев удалось даже обеспечить несанкционированный доступ к истории платежей. Названия мобильных приложений не были озвучены для сохранения имиджа компаний.

По результатам этого и других исследований в области безопасности данных выявлены основные виды проблем в существующих системах безопасности мобильных приложений:

  • Сетевые, связанные с коммуникацией с сервером. Проблемы данного типа появляются, если данные передаются по слабо защищенным каналам.
  • Проблема хранения данных. Данные хранятся в открытом виде, например, на SD-карте, или они не зашифрованы; это приводит к появлению возможности доступа к информации извне.
  • Воздействие сторонних приложений. Присутствует высокая вероятность появления несанкционированного доступа к приложению, выполнения каких-либо действий от имени пользователя, либо даже кражи данных.
Решение Нативных Технологий
С каждым годом количество методов взлома систем безопасности мобильных приложений растет, но вместе с этим становится сильнее и сила противодействия. На сегодняшний день, разработчики используют различные методы защиты информации. Например, специалисты компании Нативные Технологии уделяют огромное внимание вопросу безопасности данных своих приложений. Для защиты данных они используют следующие меры безопасности:

  1. Защищенный канал передачи данных на сервер;
  2. Специальные библиотеки для использования SQL запросов, что исключает вероятность внедрения в SQL-код извне;
  3. Шифрование данных;
  4. Высоко-масштабируемая, отказоустойчивая платформа облачных вычислений корпоративного уровня Microsoft Azure. Мультифакторная проверка подлинности Microsoft Azure предоставляет дополнительный этап проверки подлинности в дополнение к учетным данным пользователя.
Заключение
Приложения для мобильных платформ подвержены как старым общеизвестным угрозам, так и новым, еще не изученным до конца. Необходимо помнить, что полноценная система безопасности должна всё время обновляться. Приложения на каждой платформе имеют свои особенности написания и собственные специфические угрозы, реализация которых может привести как к краже личных данных, так и к проникновению в корпоративную сеть. Во избежание подобных проблем рекомендуется проводить своевременный аудит кода, анализ защищенности приложения, а также быстро закрывать уязвимости и как можно чаще обновлять систему безопасности данных.