Проверьте, есть ли в системе безопасности вашего мобильного приложения слабые места, и исправьте их, пока они не навредили вашей репутации.
Согласно последним исследованиям NowSecure более чем в 25% мобильных приложений есть хотя бы одна критически опасная уязвимость.
В 59% финансовых приложений для Android есть три уязвимости из списка OWASP Топ-10.
Чем больше используют мобильные телефоны, тем больше появляется мобильных приложений. В магазине приложений Apple App Store доступно более 2 миллионов приложений, а в Google Play Store — более 2,2 миллионов.
Существует множество видов уязвимости, к наиболее критичным из них относятся:
- утечка личной или конфиденциальной информации пользователей в сети (email, учетные данные, IMEI, GPS, MAC-адрес);
- обмен информации в сети без шифрования или с недостаточным шифрованием;
- файл доступен для чтения или записи любым лицом;
- выполнение произвольного кода;
- вредоносные программы.
Если вы владелец или разработчик приложения, вы должны сделать все для обеспечения безопасности вашего мобильного приложения. Существует много инструментов для поиска уязвимости сайтов, а информация ниже поможет вам найти слабые стороны системы безопасности мобильного приложения.
[ad name=»Responbl»]
В статье используются следующие сокращения:
- APK – формат архивных файлов-приложений для Android (англ. Android Package Kit);
- IPA – формат архивных файлов-приложений для iPhone (англ. iPhone application archive);
- IMEI – международный идентификатор мобильного оборудования (англ. International mobile equipment identity);
- GPS – система глобального позиционирования (англ. Global positioning system);
- MAC – управление доступом к среде (англ. Media access control);
- API – интерфейс программирования приложений (англ. Application Programming Interface);
- OWASP – открытый проект обеспечения безопасности веб-приложений (англ. Open web application security project).
Инструменты для поиска уязвимости приложений Android или iOS:
1. Ostorlab
Ostorlab позволят проверить приложение на Android или iOS и получить подробный отчет о результатах проверки. Загрузите файл вашего приложения в формате APK или IPA и спустя несколько минут отчет о безопасности будет готов.
Максимальный размер файла для загрузки на проверку 60 Mb. Тем не менее, если размер вашего приложения превышает 60Mb, то можно связаться со специалистами Ostorlab, чтобы разместить файл через запрос API.
В основе лежат такие программы с открытым исходным кодом как Androguard и Radare2. Советую бесплатно проверить ваше мобильное приложение при помощи Ostorlab.
2. Appvigil
Найдите все пробелы в системе безопасности вашего мобильного приложения с помощью Appvigil и получите подробный отчет об уязвимости за считанные минуты.
С Appvigil вы получите не только описание возможных угроз, но и рекомендации по устранению уязвимости для быстрого решения проблемы. Никакие программы устанавливать не надо, поскольку все обрабатывается в облаке Appvigil.
После того, как вы загрузите файлы APK или IPA производится статический и динамический анализ приложения (Android/iOS), в том числе и на наличие уязвимости из списка OWASP Топ-10.
3. Quixxi
Quixxi предназначен для получения мобильной аналитики, защиты мобильных приложений и восстановления потенциальных доходов. Если вам нужно просто проверить приложение на наличие уязвимости, то загрузите файл приложения Android или iOS сюда.
Для проверки потребуется несколько минут. После завершения проверки у вас будет краткий отчет об уязвимости. Если же вам нужен полный отчет, то нужно зарегистрироваться на сайте. Это бесплатно.
4. AndroTotal
Как можно догадаться по названию, AndroTotal пригоден только для работы с приложениями на Android. AndroTotal проверяет файл APK на наличие вирусов и вредоносного кода, сверяя результаты следующих антивирусных программ:
- McAfee;
- TrustGo;
- ESET;
- Comodo;
- AVG;
- Avira;
- Bitdefender;
- Qihoo.
Если вам нужно быстро проверить APK-файлы на наличие вирусов, то AndroTotal является хорошим решением.
5. Akana
Akana — это интерактивный инструмент для анализа приложений для Android. Akana проверяет приложение на наличие вредоносного кода и отображает сведения о результатах.
Проверка бесплатная, так что попробуйте и посмотрите, нет ли в вашем Android приложении вредоносного кода.
6. NVISO
Nviso APKSCAN — это еще один удобный сетевой инструмент для проверки приложения на наличие вредоносного кода. Результаты могут быть готовы не сразу, это зависит от вашего места в очереди. Можете оставить свою электронную почту и получить уведомление, когда отчет будет готов.
Я проверил макет своего приложения с помощью Nviso и увидел, что проверяется следующее:
- активность диска;
- поиск вирусов;
- сетевой трафик;
- возможность совершения телефонного звонка, отправки SMS;
- криптографическая активность;
- утечка данных.
[ad name=»Responbl»]
7. SandDroid
SandDroid проводит статический и динамический анализ и формирует полный отчет. Можно загрузить файл APK или zip-файл размером не более 50 Mb.
SandDroid разработан исследовательской группой Botnet и Сианьского транспортного университета. Проверяется следующее:
- размер/хеш файла, версия SDK;
- сетевые данные, компоненты, закодированные свойства, уязвимый API, анализ IP;
- утечки данных, SMS, отслеживание телефонных звонков;
- поведение, представляющее угрозу, и вероятность угрозы.
Запросите отчет и оцените безопасность вашего приложения.
Надеюсь, инструменты для проверки уязвимости помогут вам проверить безопасность мобильного приложения и устранить найденные проблемы.
[ad name=»Responbl»]
Если у вас свой сайт, то возможно вас заинтересует возможность автоматической проверки сайта на наличие уязвимостей.