Песочница мобильного приложения
Что такое Песочница мобильного приложения?
Песочница мобильного приложенияГраница, обеспечиваемая операционной системой, которая ограничивает доступ мобильного приложения к файлам, IPC и API, не позволяя скомпрометированной программе свободно добраться до данных других приложений.
В iOS App Sandbox сочетает отдельный контейнер каталога на каждое приложение, обязательный контроль доступа, подпись кода и entitlements. В Android аналогичную задачу решают отдельный Linux UID на приложение, политики SELinux, scoped storage и платформенные API, защищённые разрешениями. Вместе с Verified Boot и Secure Enclave / TrustZone песочница — основа мобильной безопасности: даже эксплуатация удалённого выполнения кода в одном приложении ограничена его контейнером, пока атакующий не свяжет дополнительный баг ядра или драйвера. Jailbreak, root и некоторые средства runtime-перехвата осознанно ослабляют песочницу, поэтому большинство банковских и корпоративных приложений отказывается работать в таких условиях.
● Примеры
- 01
В iOS приложение для обмена сообщениями может читать только файлы из собственного контейнера, если пользователь явно не выбрал документ через Documents picker.
- 02
В Android scoped storage запрещает приложению-фонарику читать фотографии в приватном каталоге другого приложения.
● Частые вопросы
Что такое Песочница мобильного приложения?
Граница, обеспечиваемая операционной системой, которая ограничивает доступ мобильного приложения к файлам, IPC и API, не позволяя скомпрометированной программе свободно добраться до данных других приложений. Относится к категории Мобильная безопасность в кибербезопасности.
Что означает Песочница мобильного приложения?
Граница, обеспечиваемая операционной системой, которая ограничивает доступ мобильного приложения к файлам, IPC и API, не позволяя скомпрометированной программе свободно добраться до данных других приложений.
Как работает Песочница мобильного приложения?
В iOS App Sandbox сочетает отдельный контейнер каталога на каждое приложение, обязательный контроль доступа, подпись кода и entitlements. В Android аналогичную задачу решают отдельный Linux UID на приложение, политики SELinux, scoped storage и платформенные API, защищённые разрешениями. Вместе с Verified Boot и Secure Enclave / TrustZone песочница — основа мобильной безопасности: даже эксплуатация удалённого выполнения кода в одном приложении ограничена его контейнером, пока атакующий не свяжет дополнительный баг ядра или драйвера. Jailbreak, root и некоторые средства runtime-перехвата осознанно ослабляют песочницу, поэтому большинство банковских и корпоративных приложений отказывается работать в таких условиях.
Как защититься от Песочница мобильного приложения?
Защита от Песочница мобильного приложения обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Песочница мобильного приложения?
Распространённые альтернативные названия: Песочница приложения, App Sandbox.
● Связанные термины
- appsec№ 516
Атрибут sandbox у iframe
HTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
- mobile-security№ 694
Безопасность мобильных приложений
Практика проектирования, разработки и тестирования iOS- и Android-приложений для защиты данных пользователя, предотвращения реверс-инжиниринга и противодействия модификации во время выполнения.
- mobile-security№ 692
Разрешения мобильных приложений
Контроли ОС, требующие согласия пользователя перед тем, как приложение получит доступ к чувствительным ресурсам: геолокации, микрофону, камере, контактам, фотографиям, SMS или фоновым датчикам.
- mobile-security№ 562
Jailbreak (iOS)
Процесс обхода проверки подписи кода и ограничений песочницы Apple на iPhone или iPad, позволяющий устанавливать программы, не одобренные Apple.
- mobile-security№ 948
Rooting (Android)
Получение неограниченных прав суперпользователя (root) на устройстве Android в обход средств защиты ядра Linux, SELinux и проверенной загрузки Android.
- appsec№ 056
Безопасность приложений (AppSec)
Дисциплина проектирования, разработки, тестирования и эксплуатации ПО, обеспечивающая его устойчивость к злоупотреблениям, подделке и несанкционированному доступу на протяжении всего жизненного цикла.