Безопасность мобильных приложений
Что такое Безопасность мобильных приложений?
Безопасность мобильных приложенийПрактика проектирования, разработки и тестирования iOS- и Android-приложений для защиты данных пользователя, предотвращения реверс-инжиниринга и противодействия модификации во время выполнения.
Безопасность мобильных приложений охватывает меры защиты на протяжении всего жизненного цикла приложения: безопасное программирование, защищённое хранение (Keychain, Android Keystore), привязка сертификатов, обфускация кода, контроль целостности и корректное использование песочницы и системы разрешений платформы. Сюда же относится укрепление серверных API, которые использует клиент. Угрозы включают реверс-инжиниринг бинаря, перехват вызовов с помощью Frida или Objection, SSL stripping во враждебных сетях и злоупотребление слабыми deep links или экспортируемыми компонентами. OWASP MASVS и MASTG задают проверяемый базовый уровень, а магазины Apple App Store и Google Play добавляют процедуры проверки.
● Примеры
- 01
Банковское приложение использует привязку сертификатов и Android Keystore, чтобы устройство с root-доступом не могло извлечь токены сессии.
- 02
iOS-приложение отказывается запускаться, обнаружив jailbreak или сервер Frida на известных портах.
● Частые вопросы
Что такое Безопасность мобильных приложений?
Практика проектирования, разработки и тестирования iOS- и Android-приложений для защиты данных пользователя, предотвращения реверс-инжиниринга и противодействия модификации во время выполнения. Относится к категории Мобильная безопасность в кибербезопасности.
Что означает Безопасность мобильных приложений?
Практика проектирования, разработки и тестирования iOS- и Android-приложений для защиты данных пользователя, предотвращения реверс-инжиниринга и противодействия модификации во время выполнения.
Как работает Безопасность мобильных приложений?
Безопасность мобильных приложений охватывает меры защиты на протяжении всего жизненного цикла приложения: безопасное программирование, защищённое хранение (Keychain, Android Keystore), привязка сертификатов, обфускация кода, контроль целостности и корректное использование песочницы и системы разрешений платформы. Сюда же относится укрепление серверных API, которые использует клиент. Угрозы включают реверс-инжиниринг бинаря, перехват вызовов с помощью Frida или Objection, SSL stripping во враждебных сетях и злоупотребление слабыми deep links или экспортируемыми компонентами. OWASP MASVS и MASTG задают проверяемый базовый уровень, а магазины Apple App Store и Google Play добавляют процедуры проверки.
Как защититься от Безопасность мобильных приложений?
Защита от Безопасность мобильных приложений обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность мобильных приложений?
Распространённые альтернативные названия: Безопасность приложений для мобильных устройств.
● Связанные термины
- appsec№ 056
Безопасность приложений (AppSec)
Дисциплина проектирования, разработки, тестирования и эксплуатации ПО, обеспечивающая его устойчивость к злоупотреблениям, подделке и несанкционированному доступу на протяжении всего жизненного цикла.
- mobile-security№ 693
Песочница мобильного приложения
Граница, обеспечиваемая операционной системой, которая ограничивает доступ мобильного приложения к файлам, IPC и API, не позволяя скомпрометированной программе свободно добраться до данных других приложений.
- mobile-security№ 692
Разрешения мобильных приложений
Контроли ОС, требующие согласия пользователя перед тем, как приложение получит доступ к чувствительным ресурсам: геолокации, микрофону, камере, контактам, фотографиям, SMS или фоновым датчикам.
- mobile-security№ 562
Jailbreak (iOS)
Процесс обхода проверки подписи кода и ограничений песочницы Apple на iPhone или iPad, позволяющий устанавливать программы, не одобренные Apple.
- mobile-security№ 948
Rooting (Android)
Получение неограниченных прав суперпользователя (root) на устройстве Android в обход средств защиты ядра Linux, SELinux и проверенной загрузки Android.
- mobile-security№ 047
Android-малварь
Вредоносное ПО для операционной системы Android, как правило распространяемое через сайдлоадинг APK, дропперы в Google Play или скомпрометированные сторонние магазины.
● См. также
- № 697Управление мобильными устройствами (MDM)
- № 696Управление мобильными приложениями (MAM)
- № 123Использование личных устройств для работы (BYOD)
- № 382Управление корпоративной мобильностью (EMM)
- № 695Атака через магазин мобильных приложений
- № 810Шпионская программа Pegasus (NSO Group)
- № 517IMEI (международный идентификатор мобильного оборудования)
- № 520IMSI (международный идентификатор мобильного абонента)