Источники угроз в системе GSM

Что безопаснее: iphone или android?

Распространенный вопрос в сфере безопасности телефонов – что надежнее: iPhone или Android? Основное различие заключается в том, что iOS – это закрытая операционная система, тогда как Android используется разными производителями. Поскольку Apple не делится своим исходным кодом, снижается вероятность обнаружения уязвимостей в операционной системе iOS злоумышленниками.

В результате этого многие считают iOS более безопасной операционной системой. Однако даже пользователям телефонов Apple не гарантирована полная безопасность, поэтому важно знать базовые правила обеспечения безопасности телефона и понимать их важность.

Не забывайте, что старые телефоны защищены хуже, чем новые. Например, ранние модели iPhone больше не получают обновления безопасности. Использование более новых моделей смартфонов поможет повысить их безопасность.

Девушка со смартфоном. Знание правил обеспечения безопасности смартфона имеет огромное значение.

Введение

Согласно статистике, в 2022 году мобильные приложения были загружены на устройства пользователей более 200 миллиардов раз. По данным Marketing Land, 57% времени, проведенного в цифровом пространстве, — это время, потраченное на программы в смартфонах или планшетах.

Мобильные устройства прочно вошли в нашу жизнь: мессенджеры, банкинг, бизнес-приложения, личные кабинеты сотовых операторов — при современном ритме жизни мы используем эти приложения практически ежедневно. Согласно данным Juniper Research, общее число пользователей мобильных банковских приложений приближается к двум миллиардам, что составляет порядка 40% всего взрослого населения. Мобильным банком пользуется каждый третий (34%) россиянин старше 18 лет.

Разработчики уделяют большое внимание дизайну программных продуктов для наших гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них, но мало кто из рядовых пользователей задумывается о безопасности данных, которые мы доверяем производителям этих приложений.

Эксперты Positive Technologies регулярно проводят анализ защищенности мобильных приложений. В данном отчете представлена статистика, полученная в ходе работ по тестированию защищенности мобильных приложений для iOS и Android в 2022 году.

Читайте про операторов:  Что такое e-sim (электронная сим-карта): особенности технологии, применение в России

: источники угроз в системе gsm

Использование мобильных устройств в деловой жизни облегчает, ускоряет и оптимизирует бизнес – процессы. При этом необходимо понимать, что чем сложнее становится устройство, тем больше образуется угроз и рисков.

Обращаем особое внимание на то, что данный список не является полным, но отражает основные пути утечки информации. Более полная модель угроз описана в документе «Mobile Security Reference Architecture», подготовленном Федеральным советом руководителей информационных служб (Federal CIO Council) США и Министерством внутренней безопасности США (май 2022 года).

Вся описательная информация является максимально упрощённой и предназначена только для ознакомления с процедурами. Более подробную информацию или технические спецификации можно найти в открытом доступе интернета. 

Основные источники угроз:

1.   СОРМ – Система технических средств, для обеспечения функций Оперативно-Розыскных Мероприятий.

Источники угроз в системе GSM 

Рис. 1. СОРМ 

2.   Поставщик услуги (Оператор Сотовой Связи)

Источники угроз в системе GSM 

Рис. 2. Поставщик услуги 

3.   Производители мобильных устройств и систем управления (Операционная Система).

Источники угроз в системе GSM  

Рис. 3. Операционная Система

4.   Перехват трафика в радиоканале (комплексы перехвата: активные, полуактивные, пассивные и др. средства перехвата).

Источники угроз в системе GSM 

Рис. 4. Перехват трафика в радиоканале 

Источники угроз в системе GSM

Рис. 5. Схема применения

Методы защиты:

1.   Динамические идентификаторы (IMSI Ki, IMEI)

2.   Принудительное шифрование в сети GSM алгоритм А5/1.

3.   Политика безопасности на уровне SIM.

4.   Искажение голоса

5.   Подмена номера звонящего.

6.   Отсутствие данных локации

7.   Отсутствие биллинговых данных

8.   Невозможность установления факта звонка между абонентами.

Принципы противодействия:

Чтобы установить технический контроль за мобильным телефоном или SIM-картой, необходимо знать их идентификаторы.  Все сети коммуникации во всём мире контролируются государственными регуляторами и технически подключены к СОРМ (вся информация по данной системе доступна в интернете).

 Для мобильного устройства основным идентификатором является IMEI (International Mobile Equipment Identity — международный идентификатор мобильного оборудования). Данный параметр передаётся в сети.

Для абонента идентификатором является IMSI (International Mobile Subscriber Identity — международный идентификатор мобильного абонента (индивидуальный номер абонента). Данный параметр передаётся в сети.

Публичный параметр MSISDN(Mobile Subscriber Integrated Services Digital Number) — номер мобильного абонента цифровой сети с интеграцией служб для связи в стандартах GSM, UMTS и пр. Данный параметр не передаётся в сети, но сопоставим с IMSI.

Эти параметры достаточны для получения необходимой оперативной информации и использования этих данных для аналитических выводов. Имея эти идентификаторы по средствам СОРМ, комплексов перехвата и других мероприятий, можно получить следующую информацию по абоненту:

– по IMEI можно получить все IMSI SIM карт, которые использовались в этом устройстве и как следствие все биллинговые данные по этим SIM картам (Локация, круг общения, SMS, MMS, голос, URL-адреса, логины и пароли и т.д.);

– по IMSI можно получить все IMEI аппаратов и IMSI SIM карт, которые использовались в этих аппаратах и как следствие становятся доступными всё те же биллинговые данные, что и в предыдущем случае.

SECURESIM не имеет биллинга ни у одного из операторов, так как не является их собственностью. SECURESIM не имеет MSISDN в публичном доступе.

Алгоритм работы SECURESIM и обычной SIM в сети GSM

Процедура регистрации телефона в сети и выбора соты

После каждого включения телефона происходит процедура выбора сети и регистрация абонента в этой сети.

1.      После включения телефона с обычной SIM, производится сканирование частот и выбор соты с наивысшим уровнем сигнала. SECURESIM работает только с сотой уровень сигнала, которой является второй по своему значению. Данный алгоритм обеспечивает защиту от комплексов перехвата.

2.      После процедуры синхронизации происходит идентификация оборудования и аутентификация абонента в сети. Обычная SIM-карта производит процедуру аутентификации в сети оператора согласно Алгоритма А3. Данный протокол производит вычисление ключа SRES, который позволяет завершить процедуру аутентификации. Для вычисления ключа SRES в алгоритме А3 используются параметр IMSI и Ki. В обычной сим карте параметр IMSI вшит в SIM карту, и он не меняется. В SECURESIM несколько профилей со своими парами IMSI Ki.

Источники угроз в системе GSM

Рис.6. SECURESIM

Источники угроз в системе GSM 

Рис. 7. AYLEX 

Шифрование в сети GSM

Шифрование сессии обеспечивает алгоритм шифрования А5, который использует в своих вычислениях Кс(сессионный ключ). Кс в свою очередь вычисляется алгоритмом А8, который использует параметры Ki и RAND. В обычной SIM карте параметр Ki является неизменным, как и IMSI. SECURESIM использует несколько профилей со своими парами IMSI Ki.

Чтобы понизить уровень криптования A5/1 до A5/2 или A5/0, оператор со своей стороны или комплекс перехвата отправляет служебную команду на номер мобильного абонента MSISDN. У обычной SIM карты мобильный номер MSISDN привязан к конкретной паре IMSI Ki и хранится у оператора эмитента. SECURESIM не принадлежит ни одному из операторов и не имеет жёстко привязанного MSISDN так как имеет несколько профилей. Даже если SECURESIM попадает в зону подсистемы базовых станций BSS и команда о снятии криптования производится по средствам широковещательного сообщения PagingRequest, он не сможет выполнить данную команду, так как данный исполнительный механизм в алгоритме SECURESIM отсутствует.

Вызов

Абонент обычной SIM-карты после набора номер нажимает кнопку вызова. В этот момент телефон посредством высокоскоростного канала управления FACCH отправляет сигнал ALERT на BSS (подсистему базовых станций), а оттуда на MSC (центр коммутации). Далее коммутатор отправляет сообщение AddressComplete на вызывающего абонента. Абонент сделавший вызов слышит гудки, а второй абонент звонок вызова.

Зная мобильный номер абонента А или Б (MSIDIN) можно получить от биллинга оператора все детали звонка и саму сессию. Так же можно перехватить эту сессию по воздуху посредством комплекса перехвата.

Абонент Tottoli GSM после набора номера нажимает кнопку «Вызов». Апплет SIM-карты перехватывает вызов и перенаправляет его на наш сервисный номер. Мы используем несколько сервисных номеров, которые привязаны к разным серверам в разных странах. Сервисные номера доставляются на SIM-карту по технологии ОТА (On The Air), без участия абонента. Таким образом, каждый звонок от абонента производится на уникальный сервисный номер. Далее звонок пробрасывается на АТС Tottoli GSM. Данный способ связи устойчив и безопасен для абонента, так как используется несколько точек входа в сеть. К сожалению, подобный механизм поддерживается не во всех странах и не всеми операторами, в этом случае необходимо использовать CallBack, который по свойствам безопасности не отличается от прямого вызова (CallThru).

При данной логике совершения звонка невозможно получить информацию с биллинга оператора, так как  неизвестно, у какого оператора зарегистрирована в данный момент SIM-карта Tottoli GSM, нет публичного идентификатора MSISDN, по которому можно было бы получить IMSI, Ki и IMEI. Даже если абонент Б находится на контроле, невозможно понять, с кем был разговор, так как сессия состоит из двух плечей, в разрыве которой стоит серверная АТС. Таким образом, невозможно определить круг Вашего общения.

Приём звонка

Звонок на обычную SIM-карту происходит в соответствии со стандартными процедурами. После выполнения процедуры вызова и назначении TMSI (временного идентификатора мобильной станции) в зоне действия VLR, происходит приземление трафика, и сессия считается установленной. При этом биллинг оператора фиксирует, с какого устройства инициирован звонок, местоположение принимающего устройства в момент сессии (локация), длительность разговора и т.д.

Звонок на Tottoli GSM осуществляется следующим образом. SIM-карте Tottoli GSM присваивается виртуальный номер (DID), который, принимая звонок из сети, преобразовывает его в SIP протокол и маршрутизирует на АТС. В свою очередь АТС определяет конкретного абонента, которому присвоен данный DID запускает процедуру вызова, описанную выше. Таким образом, невозможно определить местоположение Tottoli GSM и взаимосвязи между обоими абонентами, ведь в разрыве всегда находится АТС.

Фонетический контроль

Учитывая тот факт, что операторы активно внедряют в свои сети механизмы поиска абонента по фонетическим признакам (отпечатку голоса) SECURESIM даёт возможность искажать акустические характеристики для входящих и исходящих звонков. Данный механизм особенно полезен, если звонок с AYSIM производится на обычную SIM.

ИТОГ

SECURESIM, не имея биллинга у операторов делает невозможным получение необходимой информации для аналитической работы (круг общения (детализации), местоположения (локации), реальных идентификаторов, голоса).

PS 

Всегда надо помнить, что телефон – проприетарное устройство, чёрный ящик, какие в нём закладки, никто не знает кроме производителя, а часто и сам производитель может не знать о каких – то багах. Так же необходимо понимать, что операторские инструменты постоянно совершенствуются. Постоянно модернизируются аналитические инструменты, выявляющие одноразовые телефоны по паттернам в биллинге: фиксируется дата первого и последнего звонка с телефона, общее количество звонков и пропорциональный состав уникальных абонентов, с которыми связывались с данной сим карты/аппарата. Имея доступ к биллинговым системам всех национальных операторов, можно определять, когда избавились от одного телефона и начали звонить со следующего, а подключив сюда данные геолокации можно выявить ареал обитания подозрительного абонента.

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

Как работают мобильные приложения

Разработка мобильных приложений в тренде, ее технологии непрерывно развиваются. Большинство современных решений имеют клиент-серверную архитектуру. Клиент работает под управлением мобильной операционной системы; чаще всего это Android или iOS. Клиентская часть загружается на устройство из так называемого магазина приложений — специализированной площадки, где разработчики размещают свои системы.

С точки зрения обычного пользователя, установленная на смартфон программа — это и есть мобильное приложение, ведь именно с ней он взаимодействует напрямую: совершает покупки, оплачивает счета, просматривает почту. Но в действительности есть еще один компонент, который принято называть сервером.

Серверная часть находится на стороне разработчика. Зачастую ее роль выполняет то же программное обеспечение, которое отвечает за генерацию и обработку контента на сайте. Другими словами, чаще всего серверная часть — это веб-приложение, которое взаимодействует с мобильным клиентом через интернет посредством специального интерфейса (API).

Рисунок 1. Kлиент-серверное взаимодействие в мобильном приложении
Рисунок 1. Kлиент-серверное взаимодействие в мобильном приложении

Современные версии мобильных ОС имеют разнообразные встроенные механизмы защиты. Так, по умолчанию всем установленным программам разрешено работать только с файлами в собственных домашних каталогах, а права пользователя не позволяют редактировать какие-либо системные файлы.

Комплексная проверка безопасности мобильного приложения подразумевает поиск уязвимостей как в клиентской, так и в серверной частях; кроме того, не менее важно оценить защищенность канала передачи данных между ними. В данном исследовании мы рассмотрим все эти аспекты.

Также мы расскажем об угрозах, которые подстерегают пользователей, в том числе о тех, которые обусловлены взаимодействием между клиентской и серверной частями мобильных приложений. С методикой исследования и портретом участников можно ознакомиться в конце отчета.

Кража (потеря)

Согласитесь, в наши неспокойные времена кражи происходят очень часто.

«Столица охвачена эпидемией преступлений, связанных с мобильными телефонами», — сообщила CNews председатель комитета по безопасности Мосгордумы Инна Святенко.

На встречах с председателями школьных родительских комитетов постоянно подчеркивается не только факт повального воровства и грабежей мобильных телефонов у школьников, но и причинения детям при этом тяжелых увечий. У этой проблемы два аспекта. Во-первых, операторы не хотят взаимодействовать с правоохранительными органами, ссылаясь на наиболее удобные для них законы и игнорируя остальные.

Однако вы можете задать резонный вопрос, а при чем тут информационная безопасность? Но ведь на утерянном (украденном) мобильном телефоне может находиться конфиденциальная информация! Это и номера телефонов ваших клиентов и партнеров, их персональная информация (домашние телефоны, электронные адреса и пр.).

А если телефон к тому же еще и имеет функцию диктофона (а в наше время это уже отнюдь не редкость), то в нем могут находиться записи ваших телефонных разговоров и прочая важная информация. Если же обратиться к статистике, то лишь за несколько месяцев 2005 года в лондонских такси было оставлено 63 135 мобильных телефонов (в среднем по три аппарата на каждое такси), 5838 карманных ПК и 4973 ноутбука [2].

Увы, дни, когда потеря телефона расценивалась как неприятность, давно канули в Лету. Теперь эти устройства могут предоставить злоумышленнику все подробности личной жизни своего владельца (например, персональные/семейные/служебные фотографии и аудиозаписи), раскрыть коммерческую тайну фирмы и т.д.

Все чаще люди по разным причинам теряют свои мобильные устройства. Но о создании резервных копий огромных объемов записанной чувствительной информации заботятся далеко не все. Полезным, на мой взгляд, было бы проводить на предприятиях во время обучения основам информационной безопасности занятия, в ходе которых объяснять пользователям угрозы подобного рода.

Конечно, оптимальным было бы введение блокировки краденых телефонов, тем более что технической сложности данная проблема не представляет. По такому пути пошли страны Прибалтики, однако мобильные операторы России и Украины никак не могут договориться с правоохранительными органами. В результате подобное решение проблемы пока невозможно.

Об исследовании

Отчет содержит результаты исследования 17 полнофункциональных мобильных приложений, для которых в 2022 году проводился углубленный анализ с наиболее полным покрытием проверок. В выборке не представлены системы, владельцы которых не дали своего согласия на использование результатов анализа защищенности в исследовательских целях, и те системы, для которых был проведен анализ только части функциональных возможностей.

65% Доля систем, протестированных методом белого ящика

8 клиентов Android

9 клиентов iOS

7 серверных частей

Оценка защищенности проводилась методами черного, серого и белого ящика с использованием вспомогательных автоматизированных средств. Метод черного ящика заключается в проведении работ по оценке защищенности информационной системы со стороны внешнего атакующего без предварительного получения какой-либо дополнительной информации о ней от владельца.

Метод серого ящика аналогичен, но в качестве нарушителя рассматривается пользователь, имеющий определенные привилегии в системе. При анализе методом белого ящика для оценки защищенности информационной системы используются все имеющиеся данные о ней, включая исходный код приложений.

Рисунок 27. Типы приложений
Рисунок 27. Типы приложений

В настоящем документе приведены уязвимости клиентских и серверных частей. В дополнение рассмотрены угрозы мобильных приложений, в том числе и те, которые обусловлены клиент-серверным взаимодействием. Отчет содержит только описания уязвимостей, связанных с ошибками в коде и конфигурации мобильных приложений.

  • уязвимости в коде мобильного приложения (ошибки, которые допустил программист при разработке);
  • ошибки реализации механизмов защиты (появляются в системе еще на этапе проектирования).

Уровень риска уязвимостей оценивался исходя из степени влияния потенциальной атаки на пользовательские данные и само приложение, а также с учетом сложности проведения атаки; выделены качественные оценки высокого, среднего и низкого уровней риска.

* В начале 2022 года наши эксперты обнаружили в этом компоненте уязвимость (CVE2022-5765), которая позволяет получать доступ к данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps).

Привыкание к информационным технологиям. инфомания

По данным New York Times, в мире ежедневно отсылается более 50 млрд электронных писем; в 2001 году трафик составлял менее 12 млрд. Из них 88% — это спам, 1% которого заражен вирусами.

Среднее количество электронных сообщений, ежедневно получаемых человеком, — 32. Эта цифра растет каждый год на 84%.

На данный момент создано 440 млн электронных почтовых ящиков, в том числе 170 млн — корпоративных, их количество увеличивается на 32% ежегодно.

В Великобритании ежемесячно рассылается 1035 млн SMS-сообщений.

В среднем в месяц на каждого пользователя приходится 37 сообщений — в 2001 году их было 21.

У миллиона детей до 10 лет в Великобритании — то есть у каждого третьего — теперь есть свой мобильный телефон.

Средний возраст, когда ребенок обзаводится личным мобильным телефоном в Англии, — 8 лет.

82% детей и молодых людей от 5 до 24 лет — в целом 12,6 млн — пользуются сотовыми телефонами. К 2007 году их количество, по прогнозам, возрастет до 87% [3].

Регулярное использование SMS, ICQ и других подобных систем обмена сообщениями может снизить уровень IQ. Британские ученые, проводившие данное исследование по инициативе компании Hewlett-Packard, дали этому феномену название «инфомания». Это в основном проблема взрослых, работающих людей.

Резюме

  • Уязвимости высокого уровня риска обнаружены в 38% мобильных приложений для iOS и в 43% приложений для платформ под управлением Android.
  • Большинство проблем безопасности являются общими для обеих платформ. Небезопасное хранение данных — основной недостаток, он выявлен в 76% мобильных приложений. Под угрозу попадают пароли, финансовая информация, персональные данные и личная переписка.
  • Хакеру редко требуется физический доступ к смартфону, чтобы украсть данные: 89% уязвимостей могут быть проэксплуатированы с использованием ВПО.
  • Большинство недостатков связаны с ошибками в механизмах защиты (74% и 57% — для приложений на iOS и Android соответственно, 42% — для серверных частей). Такие уязвимости закладываются еще на этапе проектирования, а их устранение потребует внесения существенных изменений в код.
  • Риски возникают не только из-за отдельно взятых уязвимостей на клиенте или сервере; зачастую угрозы обусловлены несколькими, казалось бы, незначительными недостатками в разных частях мобильного приложения, которые в совокупности могут приводить к серьезным последствиям, вплоть до финансового ущерба для пользователей и репутационных потерь для производителя.
  • Успех кибератаки на мобильное приложение напрямую зависит от того, насколько внимательно сам пользователь относится к сохранности своих данных. Предпосылкой ко взлому могут стать повышенные привилегии или загруженные из неофициального источника программы.

Смартфоны

На рынке мобильной связи наблюдается устойчивая тенденция к «поумнению» средств мобильной связи. Резко увеличивается число смартфонов. Вполне естественно, что одновременно произойдет рост числа проблем, ранее присущих только рынку ПК. Вирусы, спам, шпионское и рекламное ПО — увы, распространение подобного ПО — только вопрос времени. Вместе с тем стоит отметить, что сегодня смартфоны значительно хуже защищены от вредного воздействия.

О данной проблеме заговорили еще в июне 2004-го, после появления вируса Cabir для ОС Symbian. Причина вполне естественна. Вирусы для ПК тоже когда-то исчислялись всего десятками. А теперь? Сегодня «мобильных» вирусов тоже насчитывается всего несколько десятков…

Большинство известных вирусов для смартфонов относится к классу троянских программ и использует для реализации своего функционала уязвимости ОС.

Вместе с тем существуют и мобильные вирусы-черви. Типичный пример — Worm.SymbOS.Cabir.a, известный в других классификациях как SymbOS/Cabir.b (McAffe), SymbOS.Cabir.B (Symantec), SymbOS_CABIR.A (Trend Micro), SymbOS/Cabir.A.worm (Panda). Это был первый сетевой червь, распространявшийся через Bluetooth.

Новые вирусы для мобильных устройств появляются примерно раз в месяц. Вместе с тем стоит отметить, что небезопасность мобильных устройств обусловлена прежде всего человеческим фактором, а уровень защищенности операционных систем внушает опасения. Ведь сегодня аппараты под управлением ОС Symbian очень легко вывести из строя.

Так что же делать? В борьбе с вирусами для мобильников существует два подхода. Во-первых, антивирус необходимо устанавливать на оборудование оператора связи, а во-вторых, на телефон пользователя.

Но почему в таком случае мы не наблюдаем вирусных эпидемий, если все так грустно? Причина в том, что пока еще не настолько широко распространены смартфоны. Но это, увы, только вопрос времени.

Угрозы безопасности мобильных телефонов

Давайте рассмотрим основные угрозы безопасности телефонов.

Вредоносные приложения и веб-сайты

Мобильные вредоносные программы (вредоносные приложения) и вредоносные веб-сайты могут использоваться для кражи и шифрования данных как на мобильных телефонах, так и на компьютерах. Существуют разные виды вредоносных приложений. Наиболее распространенными являются трояны, осуществляющие переходы по вредоносным ссылкам и рекламным объявлениям.

Мобильные программы-вымогатели

Мобильные программы-вымогатели – это вредоносные программы, блокирующие доступ пользователей к мобильным устройствам и требующие выкуп, обычно в криптовалюте. Рост использования мобильных устройств в рабочих целях привел к распространению программ-вымогателей и повышению их опасности.

Фишинг

Большинство фишинговых атак на компьютеры и ноутбуки начинается с электронного письма, содержащего ссылку или вложение для загрузки вредоносных программ. Однако доля электронных писем при фишинговых атаках на мобильные устройства составляют лишь 15%. Большинство мобильных фишинговых атак осуществляется через SMS-сообщения, социальные сети и другие приложения.

Атаки типа «человек посередине» (Man-in-the-Middle)

Уязвимости клиентских частей

  • 60% уязвимостей сосредоточены в клиентской части
  • 89% уязвимостей могут быть проэксплуатированы без физического доступа к устройству
  • 56% уязвимостей могут эксплуатироваться без административных прав (jailbreak или root)

Приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, и общий уровень защищенности клиентских частей мобильных приложений для Android и iOS примерно одинаков. Около трети всех уязвимостей в клиентских частях мобильных приложений для обеих платформ имеют высокий уровень риска.

Рисунок 2. Максимальная степень риска уязвимостей (указана доля клиентских частей)
Рисунок 2. Максимальная степень риска уязвимостей (указана доля клиентских частей)

38% Android
22% iOS

Доли приложений с небезопасным межпроцессным взаимодействием

Небезопасное использование межпроцессного взаимодействия — распространенная критически опасная уязвимость, которая позволяет злоумышленнику удаленно получить доступ к данным, обрабатываемым в уязвимом мобильном приложении. Остановимся на ней более подробно.

Операционная система Android предоставляет механизм взаимодействия компонентов приложения посредством сообщений (объектов класса Intent). Если для обмена сообщениями используются широковещательные рассылки, то чувствительные данные, содержащиеся в этих сообщениях, могут быть скомпрометированы вредоносным ПО, зарегистрировавшим свой обработчик широковещательных сообщений (компонент BroadcastReceiver).

Рисунок 5. Схема небезопасного межпроцессного взаимодействия в ОС Android
Рисунок 5. Схема небезопасного межпроцессного взаимодействия в ОС Android

Рекомендация для разработчиков

Android: Используйте компонент LocalBroadcastManager для отправки и получения широковещательных сообщений, не предназначенных для сторонних приложений

Межпроцессное взаимодействие в iOS-приложениях, как правило, запрещено, однако существуют случаи, когда оно необходимо. В iOS версии 8 компания Apple представила новую технологию под названием App Extensions, с помощью которой приложения могут делиться своими функциональными возможностями с другими установленными на устройстве приложениями (например, мобильные приложения для социальных сетей позволяют быстро делиться контентом из браузера).

Уязвимости серверных частей

Как мы отмечали выше, серверные части мобильных приложений по сути являются веб-приложениями. Об уязвимостях веб-приложений мы рассказали в отдельном исследовании. Тем не менее рассмотрим уязвимости серверных частей мобильных приложений более подробно.

Рисунок 14. Доля уязвимостей различной степени риска
Рисунок 14. Доля уязвимостей различной степени риска

В августе 2022 года злоумышленники похитили персональные данные 20 000 пользователей мобильного приложения авиакомпании Air Canada

По данным компании McAfee, количество вредоносного ПО для мобильных устройств растет: ежеквартально выявляется от 1,5 до 2 млн новых экземпляров, а к концу 2022 года общий объем составил более 30 млн экземпляров. Постоянный рост числа и разнообразия вредоносного ПО для мобильных устройств существенно повышает популярность атак на клиентские части, и серверные уязвимости перестали быть главной угрозой безопасности мобильных приложений.

Еще в 2022 году категория Weak Server Side Controls занимала второе место в рейтинге OWASP Mobile Top 10; в рейтинге 2022 года серверные уязвимости были исключены из десятки самых распространенных угроз. Тем не менее риски, связанные с недостатками серверов, сохраняются, и в мире продолжают случаться громкие утечки данных из-за серверных уязвимостей.

Рисунок 15. Уровень защищенности серверных частей (доля систем)
Рисунок 15. Уровень защищенности серверных частей (доля систем)

Серверные части мобильных приложений в равной степени содержат уязвимости как в коде самого приложения, так и в механизмах его защиты. В числе последних стоит отметить недостатки реализации двухфакторной аутентификации. Рассмотрим уязвимость, которую мы обнаружили в одном из исследованных приложений.

Если послать сразу друг за другом, с минимальным интервалом, два одинаковых запроса к серверу, то одноразовые пароли отправляются пользователю приложения на устройство и через push-уведомления, и в SMS на привязанный номер телефона. В результате злоумышленник, имея возможность перехватывать SMS-сообщения, может совершать операции от имени законного пользователя, например переводить деньги с его счета на свой.

Рекомендация для разработчиков

Нет необходимости дублировать одноразовые пароли или коды подтверждения в SMS-сообщениях и push-уведомлениях. Используйте выбранный пользователем канал получения паролей

Рисунок 17. Доли уязвимостей разных типов
Рисунок 17. Доли уязвимостей разных типов

Выводы

Мобильные устройства — привлекательная мишень для хакерских атак, ведь в них хранятся и обрабатываются большие объемы личной информации и данные банковских карт. Как показывают результаты нашего исследования, при разработке мобильных приложений вопросам безопасности уделяется недостаточно внимания, и основная проблема связана с небезопасным хранением данных.

Пользователи могут сами способствовать компрометации своих устройств: расширять стандартные возможности смартфона, лишая его защиты, переходить по подозрительным ссылкам в SMSсообщениях, загружать программы из неофициальных источников, поэтому безопасность пользовательских данных — ответственность не только разработчиков приложений, но и самих владельцев мобильных устройств.

Говоря о мобильных приложениях, нельзя недооценивать риск кибератаки в результате эксплуатации серверных уязвимостей. Серверы мобильных приложений защищены не лучше, чем клиентские части. В 2022 году каждая серверная часть содержала хотя бы одну уязвимость, которая позволяет проводить разнообразные атаки на пользователей, включая фишинговые рассылки от имени сотрудников компанииразработчика, что ставит под удар ее репутацию.

Риски связаны не только с брешами в защите клиента или сервера, но и с уязвимостями, которые возникают в процессе клиент-серверного взаимодействия. Обмен данными по открытому протоколу грозит полной компрометацией передаваемого трафика. Но даже защищенные соединения не всегда надежны, что говорит об отсутствии у разработчиков глубокого понимания важности вопросов безопасности.

Механизмы защиты являются слабым звеном мобильных приложений. Большинство уязвимостей были заложены еще на этапе проектирования и стали следствием недостаточной проработки концепции защиты. Мы рекомендуем тщательно прорабатывать вопросы безопасности мобильного приложения и регулярно проводить тестирование его защищенности, начиная с самых ранних стадий жизненного цикла.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *