Sigurnost aplikacija imperativ u svijetu koji funkcionira kao mobile first

Sigurnost aplikacija imperativ u svijetu koji funkcionira kao mobile first

S obzirom na 6,6 milijardi korisnika pametnih telefona diljem svijeta, što čini 83,7% ukupne populacije, mobilna industrija je utjecajnija no ikada. Rezultat mobile-first trenda je preko 2,56 milijuna dostupnih aplikacija na Google Play Store-u.

Međutim, tu je i druga strana medalje – upitne sigurnosne prakse kada su u pitanju mobilne aplikacije. Prije otprilike dva desetljeća, biti relevantan značilo je biti prisutan na internetu. Imati web stranicu koja objedinjuje vašu ponudu i usluge u većini slučajeva pokazalo se kao dobra investicija. Danas se tvrtke suočavaju s potrebom da budu prisutne i na mobilnim uređajima svojih korisnika. Najbolji način za to je kreirati mobilnu aplikaciju, dostupnu krajnjim korisnicima. Problem nastaje u procesu razvoje same aplikacije. Potreba za što bržim izlaskom na tržište rezultira zanemarivanjem sigurnosnih aspekata aplikacije, što ju čini ranjivom na već poznate i nove napade. Ugroženi su krajnji korisnici, a često i tvrtke.

Umjesto da slijede načelo sigurnog dizajna, developeri mobilnih aplikacija skloni su previdjeti sigurnosne aspekte aplikacije i popravljati posljedice nakon što se pojave, u hodu. Proaktivne mjere u obliku alata za otkrivanje i prevenciju za zaštitu mobilne aplikacije trebale bi biti dio procesa razvoja, a ne tema o kojoj će se misliti naknadno.

Sigurnost mobilnih aplikacija u brojkama

Industrija mobilnih aplikacija je u punom zamahu – i nema naznaka usporavanja. S trendom rasta sve veći fokus stavlja se i na sigurnost aplikacija. To nije prolazna tema već stalna briga koja zahtjeva kontinuiranu pozornost.

Naravno, tvrtke ne gube vrijeme i uvijek su u žurbi s objavom novih aplikacija – želeći biti prisutne na tržištu gdje su mobilni uređaji neizostavni element poslovanja. Kako bismo razumjeli posljedice pritiska za što brži izlazak na tržište, dovoljno je pogledati najnovije statistike relevantne za stanje sigurnosti mobilnih aplikacija.

Među poznatim i novim sigurnosnim prijetnjama mobilnim aplikacijama, dodatni izazov za stručnjake za kibernetičku sigurnost predstavljaju imitacijske aplikacije. Imitacijske aplikacije su kopije legitimnih aplikacija; obično one koje već imaju milijune preuzimanja i vjernu publiku koja neće postavljati previše pitanja. Takve aplikacije predstavljaju opasnost iz brojnih razloga; prikupljanje korisničkih podataka, presretanje osjetljivih podataka i inficiranje mobilnih uređaja malicioznim softverom samo su neke od prijetnji.

Sigurnosne prijetnje i kako ih ublažiti - Na što obratiti pažnju?

Nakon što je mobilna aplikacija dostupna za preuzimanje, korisnici nisu jedini koji dobivaju pristup.  Hakeri, spremni mijenjati kod aplikacije, traže svoju sljedeću metu. Mobilne aplikacije koje su implementirale slabije sigurnosne mjere odlična su meta hakerima i cyber kriminalcima koji je mogu mijenjati uz  minimalan napor. Da biste dobili dojam zašto bi sigurnost mobilnih aplikacija trebala biti među glavnim prioritetima pri dizajniranju aplikacije, spomenut ćemo neke od najčešćih prijetnji sigurnosti mobilnih aplikacija su:

•      Slaba enkripcija

•      Ranjivosti specifične za operativni sustav

•      Reverse engineering

•      Jailbreaking/Rooting

•      Hooking napadi

•      Debugger-i

•      Emulatori

•      Snimanje zaslona (specifično za iOS)

 

Najbolje prakse za sigurnost mobilnih aplikacija

Opseg i svestranost malicioznih radnji u kontekstu mobilnih aplikacija toliko su široki da jedno rješenje jednostavno ne može jamčiti potpunu zaštitu. Međutim, postoje najbolji primjeri iz prakse koji, kada se implementiraju, doprinose mobilnom okruženju „otpornom na metke“. Imajte na umu sljedeće - ne možemo eliminirati napade, ali ono što možemo učiniti je poremetiti tijek napada. Ideja je haker što je više moguće otežati bilo kakvu kontrolu nad sustavom. Najčešći alati i metode za postizanje takvog ishoda su sljedeći:

•      Obfuskacija koda – mehanizam koji, doslovno, šifrira kod i čini obrnuti inženjering problematičnim procesom za napadača. Otežavanje čitanja koda značajno smanjuje šanse za uspješan napad.

•      Whiteboxing – pomaže u održavanju povjerljivosti kriptografskih ključeva.

•      Automatski istek – omogućuje da odredite razdoblje nakon kojeg će mobilna aplikacija prestati s radom.

•      Standalone tipkovnica – značajka koja uspješno pomaže u ublažavanju pokušaja unosa tipkovnice.

•      Polimorfizam – Mogućnost izmjene koda tijekom otkrivenog napada obrnutog inženjeringa kako bi se zbunio napadač i dodao poteškoće u toku napada.

•      Paketi za detekciju napada – otkrivanje uobičajenih napada koji uključuju emulatore i debuggere, kao i jailbreak/root detekcija, među glavnim su značajkama koje trebate tražiti u sigurnosnom rješenju vaše mobilne aplikacije.

•      Implementacija RASP-a – skraćeno od Runtime Application Self-Protection odnosno prevedeno: samozaštita aplikacije u vremenu izvođenja (dakle dok je aplikacija pokrenuta i upotrebljava se). RASP je tehnologija koja je sposobna kontrolirati izvršavanje aplikacije, detektirati ranjivosti i spriječiti napade u stvarnom vremenu.

RASP kao temelj sigurnosti mobilnih aplikacija

RASP je računalni kod koji se može ubaciti u bilo koju mobilnu aplikaciju i koji osigurava da aplikacija bude zaštićena od različitih hakerskih napada. Zaštita se osigurava tako da konkretni računalni kod u sebi ima ugrađene detektore koji prate stanje mobilnog uređaja i u slučaju da detektiraju atipično stanje mobilnog uređaja (atipično stanje je zapravo potencijalna prijetnja), omogućavaju da aplikacija samostalno odradi određeni zaštitni mehanizam. Bitno je naglasiti da jednom kad je RASP ugrađen u mobilnu aplikaciju, zaštita je aktivna i nije potrebna ikakva ljudska aktivnost (bilo krajnjega korisnika, bilo zaposlenika/vlasnika aplikacije) kako bi aplikacija detektirala prijetnju i prevenirala potencijalni napad.

Od čega i koga štiti

Tipovi napada koje RASP detektira i prevenira su brojni. Moguće je npr. detektirati da je uređaj na kojem se aplikacija nalazi jailbreakan (situacija u kojoj su promijenjene tvorničke postavke mobilnog uređaja); da je na mobilni uređaj spojen debugger/emulator/hook (programerski alati kojima se koriste programeri prilikom razvoja aplikacija ili radi otklanjanja problema u kodu ili hakeri prilikom pokušaja napada, a koji nisu standardni za korištenje od strane krajnjega korisnika na komercijalnom mobilnom uređaju); a moguće je i detektirati da je na mobilnom uređaju aktivirano snimanje ekrana. Kad je RASP ugrađen u neku mobilnu aplikaciju, on štiti ne samo tvrtku koja je vlasnik aplikacije, već i krajnjega korisnika koji konkretnu aplikaciju upotrebljava.

App Protector

Asseco SEE (ASEE) je već godinama lider na tržištu sigurnosnih rješenja i bilo je prirodno da dio ASEE-ovog portfelja postane i RASP kao produkt. Domensko znanje o sigurnosnoj problematici u smislu  autentikacije i identiteta koje ASEE posjeduje iznimno je relevantno za razvoj ovakvog rješenja.

App Protector je ASEE-ovo mobilno sigurnosno rješenje temeljeno na RASP tehnologiji koje je sposobno preuzeti kontrolu nad izvršavanjem aplikacije, detektirati i spriječiti napade u stvarnom vremenu. App Protector želi zaštititi sve sudionike. Od vlasnika aplikacija i programera do krajnjeg korisnika.

U slučaju da se otkrije anomalija, ovisno o parametrima prilagodbe postavljenim za određenu prijetnju, sigurnosna komponenta odgovara na jedan od tri načina:

1.     Prikaz lažne vrijednosti kako bi se onemogućila zlouporaba aplikacije.

2.     Obavijest krajnjem korisniku o potencijalnoj sigurnosnoj prijetnji.

3.     Momentalni prekid rada aplikacije.

App Protector dostupan je u online i offline načinu rada. Online način rada uključuje portal koji omogućuje prilagodbu parametara za pojedinačne sigurnosne prijetnje; dok offline način rada dolazi bez portala i uključuje tvrdo kodiranu konfiguraciju.

Uspješan je u sprječavanju brojnih prijetnji, kao što je jailbreak/root detekcija, hooking, debugging i snimanje zaslona. App Protector jamči sigurnost mobilnih aplikacija, a kao produkt temeljen na RASP tehnologiji nema pauze u razvoju. Hakeri neprestano rade na unaprjeđenju svojih tehnika napada. Samim time, nužno je da se produkt ovog tipa kontinuirano razvija, jer uspješna prevencija napada danas može postati zastarjela već za godinu dana. S obzirom na višegodišnje iskustvo i znanje koje ASEE ima na ovom polju, nema sumnje da će App Protector u godinama koje slijede osiguravati rješenja za detekciju i prevenciju hakerskih napada u brojnim industrijama.

Izvori:

1. Kaspersky.com

2. https://www.secure-d.io/

3. https://www.helpnetsecurity.com/

Još iz kategorije

RoomRaccoon predstavio novi hotel housekeeping softver za još jednostavnije upravljanje procesima

RoomRaccoon predstavio novi hotel housekeeping softver za još jednostavnije upravljanje procesima

25.06.2022.

RoomRaccoon objavio je proširenje svoje cloud platforme s lansiranjem u potpunosti integriranog housekeeping softvera, RaccoonHousekeeping. Novi softver ima važnu ulogu, hotelima pomaže ubrzati poslovne procese i poboljšati internu komunikaciju, a sve kroz inovativni mobilni prikaz i nadzornu ploču.

Povećanje sigurnosti u građevinskom sektoru zahvaljujući tehnologiji

Povećanje sigurnosti u građevinskom sektoru zahvaljujući tehnologiji

21.06.2022.

Građevinski sektor predstavlja industriju s puno opasnosti, imajući na umu da izgradnja sama po sebi uvijek nosi određenu razinu rizika. Prisutnost raznih građevinskih materijala, kemijskih tvari, rad s velikim opterećenjima i na velikim visinama - između ostalog, dovodi do svakodnevne izloženosti opasnostima na radnom mjestu građevinskih radnika.

ReversingLabs osvojio prestižnu godišnju nagradu Global InfoSec za najbolji proizvod u području sigurnosti aplikacija

ReversingLabs osvojio prestižnu godišnju nagradu Global InfoSec za najbolji proizvod u području sigurnosti aplikacija

21.06.2022.

ReversingLabs osvojio je nagradu Global InfoSec za najbolji proizvod u području sigurnosti aplikacija na konferenciji RSA 2022, održanoj proteklog tjedna u San Franciscu.