Как мы внедряем проверки безопасности в разработку мобильных приложений

Наши команды получили новый инструмент, который будет автоматически отслеживать уязвимости в приложениях. Рассказываем, почему мы посчитали это важным и как это работает в конвейере разработки.

Традиционно основной целью информационной безопасности является защита бэкенда, на которых хранятся конфиденциальные данные. Однако мобильные приложения изменили ситуацию – теперь доступ к ценной информации можно получить за пределами компании, взломав приложение на смартфоне пользователя.

В этом году российские компании столкнулись со шквалом киберугроз – новости о рекордных DDoS-атаках и новых утечках появляются практически каждую неделю. Атаки на мобильные устройства составляют заметную часть этих случаев.

Статистика мобильных угроз
В первом полугодии 2022 число атак на мобильные API российских приложений увеличилось в три раза по сравнению с тем же периодом 2021 («Информзащита»)90% приложений находятся под угрозой атаки из-за уязвимостей библиотек и прочих сторонних компонентов («РТК-Солар»)

Статистика мобильных угроз

В первом полугодии 2022 число атак на мобильные API российских приложений увеличилось в три раза по сравнению с тем же периодом 2021 («Информзащита»)90% приложений находятся под угрозой атаки из-за уязвимостей библиотек и прочих сторонних компонентов («РТК-Солар»)

Мы серьезно подходим к безопасности наших продуктов. За прошедший год мы не только получили соответствующие лицензии ФСТЭК и ФСБ, но и добавили в процесс разработки проверки кода на базе фреймворка MobSF. О том, как он помогает защищаться от взлома, расскажем дальше.

Как применяются мобильные фреймворки безопасности

Фреймворк разработки как таковой – это набор инструментов, библиотек и готовых правил, которые автоматизируют и упрощают работу команды. Мобильный фреймворк безопасности работает так же, только фокусируется на тестировании приложений на проникновение и анализе вредоносного ПО.

Мы изучили сегодняшнюю технологическую панораму и решили использовать Mobile Security Framework (MobSF).

Mobile Security Framework – интеллектуальная, интегрированная платформа автоматического тестирования мобильных приложений на проникновение.

Эта платформа дает разработчикам практически полный набор необходимых проверок:

Статический анализ кода
Динамический анализ кода
Бинарный анализ
Проверки манифестов, отслеживание разрешений, которые нужны приложению для работы
Анализ сетевой безопасности, проверки актуальности сертификатов
Антивирусные проверки онлайн-сканером VirusTotal

Отдельно стоит отметить, что хотя это бесплатный сервис с открытым кодом, у него есть техподдержка, которая помогает оперативно разобраться с возникающими вопросами. И активное коммьюнити на гитхабе – публика предлагает идеи для развития, разработчики отвечают.

Как это работает

Инструмент устроен интуитивно просто – загружаем SDK приложения, ждем 15-20 минут, получаем общую оценку безопасности и описание обнаруженных проблем.

Сервис оценивает угрозы по международной шкале CVSS. Это общепризнанный стандарт в информационной безопасности, которым пользуются все без исключения организации, вплоть до ФСТЭК. CVSS помогает быстро понять, какие уязвимости представляют угрозу, а какие скорее представляют собой неаккуратный участок кода или вовсе ложноположительное срабатывание.

1. Загружаем файл приложения

2. Получаем оценку безопасности и краткое описание severity

Разные аспекты анализа безопасности: результаты проверки сертификата, обзор активностей, сервисов, получателей и отправителей информации, доступ к динамическому анализу и др. По каждой обнаруженной уязвимости платформа предоставляет краткое описание, чтобы можно было понять, о чем речь.

Как мы используем MobSF

Отметим, что платформа «перестраховывается» и несколько занижает оценку. Иногда сервис считает проблемой процессы, которые в общем угрозы не представляют (ложноположительные срабатывания). Поэтому если продукт получает низкую оценку безопасности, сразу паниковать не стоит – результаты нужно изучать, разбираться, почему та или иная строка кода вызвала тревогу.

Quality Gate –автоматическая проверка качества, которая устанавливают пороговые значения для продвижения продукта по конвейеру разработки..

Тем не менее, такой инструмент может быть эффективным Quality Gate (или точнее, Security Gate). Если релиз не дотягивает до определенного порога, выпуск отменяется и команда уходит разбираться с обнаруженными трудностями.

По нашей оценке, в случае MobSF таким порогом можно считать 60 баллов.

На данный момент мы внедрили MobSF на мобильных продуктах одного заказчика, включили проверку в процесс разработки и выработали новый стандарт работы. В ближайшее время этот стандарт будет распространен на все наши мобильные проекты.

Полезные ссылки