Как мы отмечали выше, серверные части мобильных приложений по сути являются веб-приложениями. Об уязвимостях веб-приложений мы рассказали в отдельном исследовании. Тем не менее рассмотрим уязвимости серверных частей мобильных приложений более подробно. В августе года злоумышленники похитили персональные данные 20 пользователей мобильного приложения авиакомпании Air Canada.
По данным компании McAfee, количество вредоносного ПО для мобильных устройств растет: ежеквартально выявляется от 1,5 до 2 млн новых экземпляров, а к концу года общий объем составил более 30 млн экземпляров. Постоянный рост числа и разнообразия вредоносного ПО для мобильных устройств существенно повышает популярность атак на клиентские части, и серверные уязвимости перестали быть главной угрозой безопасности мобильных приложений.
Еще в году категория Weak Server Side Controls занимала второе место в рейтинге OWASP Mobile Top 10 ; в рейтинге года серверные уязвимости были исключены из десятки самых распространенных угроз. Тем не менее риски, связанные с недостатками серверов, сохраняются, и в мире продолжают случаться громкие утечки данных из-за серверных уязвимостей. Серверные части мобильных приложений в равной степени содержат уязвимости как в коде самого приложения, так и в механизмах его защиты.
В числе последних стоит отметить недостатки реализации двухфакторной аутентификации. Рассмотрим уязвимость, которую мы обнаружили в одном из исследованных приложений. Если послать сразу друг за другом, с минимальным интервалом, два одинаковых запроса к серверу, то одноразовые пароли отправляются пользователю приложения на устройство и через push-уведомления, и в SMS на привязанный номер телефона. В результате злоумышленник, имея возможность перехватывать SMS-сообщения, может совершать операции от имени законного пользователя, например переводить деньги с его счета на свой.
Нет необходимости дублировать одноразовые пароли или коды подтверждения в SMS-сообщениях и push-уведомлениях. Используйте выбранный пользователем канал получения паролей. В среднем каждая серверная часть содержит пять уязвимостей кода и одну уязвимость конфигурации. Среди недостатков конфигурации мы отмечаем разглашение чувствительной информации в сообщениях об ошибках, раскрытие информации о версиях используемого ПО в HTTP-заголовках, а также доступность метода TRACE. Утечка информации — еще одна распространенная проблема серверных частей мобильных приложений, которая может привести к серьезным последствиям.
Например, в одном из исследованных нами приложений при создании чата в ответе сервера были обнаружены имя, фамилия и номер телефона выбранного собеседника. Другой пример раскрытия критически важных данных — идентификатор сессии в ссылке на обрабатываемый в мобильном приложении документ. Если злоумышленник убедит пользователя отправить ему ссылку на документ, в которой содержится идентификатор сессии, то он сможет совершать действия в системе от лица этого пользователя.
Если сервер мобильного приложения обрабатывает числовые входные данные например, координаты точки на карте , то необходимо предусмотреть ограничения.
?????????????? ??????????????
В отсутствие ограничений злоумышленник может указать произвольные координаты для поиска объекта на карте. Некорректное задание координат приводит к большим задержкам во времени ответа серверной части и, как следствие, — к отказу в обслуживании. Нарушение работы приложения отрицательно сказывается на репутации его владельца.
Почти все исследованные приложения находятся под угрозой доступа к ним хакеров. В разделе про клиентские уязвимости мы отмечали, что самая распространенная проблема мобильных приложений — небезопасное хранение данных.
Содержание
Каким образом информация может попасть в руки злоумышленников? Самый распространенный сценарий — это заражение устройства вредоносным ПО, вероятность которого увеличивается в разы на устройствах с административными привилегиями root или jailbreak. Однако вредоносное ПО может повышать права самостоятельно. Попав на устройство жертвы, вредонос может запрашивать разрешения на доступ к пользовательским данным, а получив разрешение, передавать данные злоумышленникам. Внимательно относитесь к уведомлениям от приложений о запросе доступа к каким-либо функциям или данным.
Не стоит предоставлять разрешение на доступ, если есть сомнение в его необходимости для нормального функционирования приложения. Кроме того, смартфон легко потерять или он может быть украден. Несмотря на то, что по умолчанию мобильные ОС требуют установки пароля, это требование можно отключить, что и делают некоторые пользователи.
В этом случае злоумышленник, получивший физический доступ к устройству, подключит его к своему компьютеру и, используя специальные утилиты, извлечет из памяти устройства чувствительную информацию. Например, если в Android включено резервное копирование, то, используя инструмент Android Debug Bridge ADB , можно попытаться получить данные приложения из резервной копии.
Если есть привилегии root, то извлечь данные можно даже с отключенным резервированием.
Программное обеспечение как услуга
На устройствах Apple с jailbreak пользователи часто оставляют для SSH стандартную учетную запись root:alpine , что позволяет злоумышленнику скопировать данные приложения на свой компьютер, подключившись по SSH. Угроза имеет особую актуальность в случае с корпоративными смартфонами или планшетами, которыми пользуются несколько сотрудников, знающие пароль от устройства. Иногда для взлома мобильного приложения не требуются ни ВПО, ни хакерские утилиты. Например, в приложении могут отсутствовать ограничения на число неуспешных попыток ввода PIN-кода.
Другой пример: ограничения на число попыток ввода пароля накладываются только со стороны клиентской части и при перезапуске приложения счетчик попыток обнуляется. Оба этих недостатка позволяют злоумышленнику вводить пароль неограниченное число раз. Устанавливайте в качестве PIN-кода случайные комбинации цифр. Дата рождения, номер телефона, серия и номер паспорта — не лучший выбор.
Отдавайте предпочтение биометрическим механизмам аутентификации отпечаток пальца, голос, лицо , если они поддерживаются вашим устройством. Счетчик числа попыток аутентификации должен быть реализован как на стороне сервера, так и на стороне клиента. Атаки на пользователей возможны из-за уязвимостей в серверных частях. Это самая распространенная веб-уязвимость.
С ее помощью злоумышленники могут украсть учетные данные жертвы, например файлы Cookie, используя вредоносный скрипты. Но уязвимость может представлять опасность и для мобильных приложений, если в них используются компоненты с поддержкой HTML и JavaScript. Уязвимости внедрения почтовых заголовков или HTML-тегов открывают возможности для проведения фишинговых атак. В результате внедрения почтовых заголовков нарушитель потенциально может отправлять письма пользователям приложения от имени любого сотрудника компании — владельца мобильного приложения.
Проявляйте бдительность, просматривая электронную почту. Внимательно проверяйте ссылки, по которым собираетесь перейти, даже если вы являетесь клиентом компании, от которой пришло письмо. Если в ссылке перепутаны буквы, это явный признак того, что письмо отправил злоумышленник.
Помните, что сотрудники банка никогда не просят клиентов сообщить полные данные платежных карт. На стороне сервера обязательно должна осуществляться фильтрация вводимых пользователем данных. Для спецсимволов рекомендуется использовать HTML-кодировку. Зачастую угрозы обусловлены сочетанием недостатков клиентской части и сервера. Например, представим, что при выходе пользователя из приложения идентификатор сессии не удаляется на стороне клиента и отправляется на сервер с каждым новым запросом, в том числе при повторной аутентификации.
Сервер, в свою очередь, не проверяет время жизни сессии и после процедуры аутентификации вновь активирует старый идентификатор. В этом случае злоумышленник, получивший значение идентификатора сессии, может проводить атаки, выполняя всевозможные действия от лица правомерного пользователя приложения. Время жизни сессии пользователя обязательно следует ограничивать, а удаление идентификатора сессии должно происходить не только на клиенте, но и на стороне сервера.
Сервер должен создавать новую сессию для пользователя каждый раз, когда требуется аутентификация. Канал связи между клиентской частью приложения и сервером также может быть уязвим. Если клиентская часть взаимодействует с сервером по открытому протоколу HTTP, злоумышленник сможет перехватить чувствительные данные. Например, в случае с мобильным банком под угрозу попадает вся платежная информация. В этом случае безопасность соединения обеспечивается за счет шифрования передаваемой информации. Дело в том, что сертификаты хранятся на устройстве в общем для всех приложений хранилище. Вредоносное ПО может установить на смартфон жертвы корневой сертификат злоумышленника.
В этом случае все сертификаты, удостоверенные поддельным корневым сертификатом, будут считаться доверенными. Для максимальной безопасности взаимодействия клиентской и серверной частей мы рекомендуем использовать технологию Certificate Pinning, которая предполагает внедрение сертификата сервера непосредственно в код мобильного приложения. Приложение становится независимым от системного хранилища сертификатов. Подобные вирусы используются хакерами для кражи средств с банковских счетов, из криптовалютных кошельков и с PayPal-аккаунтов пользователей.
В App Store у QuVideo работают четыре приложения. Помимо уже упомянутых VivaVideo и SlidePlus это еще один видеоредактор — VivaCut — и приложение для создания коротких музыкальных видео Tempo. Последняя вообще называет себя разработчиком ПО для беспилотных автомобилей и уже успела сменить название на Fabu Technology Ltd. Несмотря на запрет индийских властей и многочисленные предупреждения об опасности этих приложений, сервисы QuVideo продолжают пользоваться спросом во всем мире. Старший менеджер отдела безопасности Lookout Хэнк Шлесс отмечает, что запрашиваемые приложениями разрешения, как доступ к данным о местоположении или локальным файлам, могут нарушать некоторые правила конфиденциальности и конфликтовать с внутренними и внешними правилами многих компаний.
Основания для этого были и остаются, отмечает VPNpro: китайское приложение запрашивает доступ к информации и данным, которые явно никак не связаны с его непосредственными функциями. Среди них, например, разрешение на чтение и запись файлов на внешние накопители и доступ к геолокационным данным. Наконец, компания пытается всячески скрыть свою связь с теми приложениями, которые были уличены в попытках шпионажа за пользователями или наличии вирусов.
Как сеть LinkedIn стала шпионской. Лучшие фото недели Снегоуборщик на улице Санкт-Петербурга, митинги в Армении и другие кадры. Бастионы Холодной войны Что напоминает о противостоянии. Попытка номер десять Прототип космического корабля от SpaceX взорвался, впервые сев на платформу. Что интересует сканеров жесткого диска? Какие хранятся файлы в папках, какие программы установлены — любая пользовательская информация, которая может пригодиться разработчику шпионской программы. Экранные шпионы — это программы, которые собирают информацию о том, чем именно пользователь занимается на компьютере.
Через заданные промежутки времени такие экранные шпионы делают скриншоты, затем отсылают их по назначению — либо разработчику, либо напрямую заказчику. Разработку и внедрение экранных шпионов, в большинстве случаев, заказывают корпорации — например, руководство таким образом может осуществлять контроль офисных сотрудников, периодически просматривая, чем персонал занимается в рабочее время.
Исследование эффективности средств защиты от шпионских программ
Злоумышленники могут прикрыться компьютером пользователя-жертвы для противозаконных действий. В итоге нести ответственность за содеянное придется последнему — владельцу компьютера, на котором установлена шпионская программа. К уголовной ответственности его, конечно же, никто не привлечет, а вот проблемы с провайдером обеспечены. Почтовые шпионы — эти шпионские программы собирают информацию о контактах пользователя в электронной почте.
Информация, как правило, собирается в адресных книгах, почтовых клиентах, органайзерах и подобной программной среде.
- Новости по теме;
- Программы шпионы на подобие ivideon. Рейтинг шпионских программ?
- 2. Методы противодействия программам-шпионам………………..……..17;
- Опыт приложения Kik.