Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2
 Скачать 80.07 Kb.
|
Оглавление1. Основные понятия и определения безопасности мобильных приложений 2 2. Угрозы и уязвимости мобильных устройств 3 3. Уязвимости операционных систем мобильных устройств 5 4. Безопасность данных при разработке мобильных приложений 5 5. Тестирование безопасности мобильных приложений 7 6. Управление мобильными устройствами 8 7. Жизненный цикл решений по безопасности мобильных устройств 9 8. Угрозы и уязвимости мобильных телекоммуникационных систем 9 9. Сети сотовой связи стандарта GSM 9 10. Технология нового поколения сотовой связи – LTE 10 11. Классификация приложений для мобильных устройств 12 12. Оценка уровня защищённости некоторых приложений 14 13. Типовые угрозы 14 14. Экспертный анализ уязвимости мобильных банковских приложений 17 15. Угрозы LTE беспроводных сетей 18 16. Защита LTE беспроводных сетей 19 17. Угрозы и уязвимости Wi-Fi – сетей 20 18. Уязвимости мобильных сетей и устройств 21 19. Утечки информации из проводной сети в беспроводные сети 23 20. Особенности функционирования беспроводных сетей 24 21. Методы ограничения доступа беспроводных сетей и устройств 25 22. Методы аутентификации в беспроводных сетях и устройств 26 23. Методы шифрования в беспроводных сетях и устройств 27 24. Атаки на Wi-Fi сети 29 25. Навигационные спутниковые системы GPS 31 26. Атаки на сети с WEP-шифрованием 31 27. Пассивные сетевые атаки беспроводных устройств 32 28. Активные сетевые атаки беспроводных устройств 32 29. Повторное использование вектора инициализации (Initialization Vector replay Attacks) 33 30. Манипуляция битами (Bit-Flipping Attack) 34 31. Проблемы управления статическими WEP-ключами 34 32. Атаки на сети с WPA/WPA2 – шифрованием 35 33. Атаки по словарю на WPA/WPA2 PSK 35 34. Примеры взлома Wi-Fi – сетей 36 35. Базовые правила мобильной безопасности 38 36. Приложения и сервисы для поиска уязвимостей мобильных устройств 38 37. Функциональное тестирование мобильных приложений 39 38. Регрессионное тестирование мобильных приложений 40 39. Тестирование локализации мобильных приложений 41 40. Автоматизация тестирования (авто тесты) мобильных приложений 41 1. Основные понятия и определения безопасности мобильных приложенийМобильное устройство – продукт (система) информационно-коммуникационных технологий. Мобильная телекоммуникационная система – это совокупность аппаратно- и программно-совместимого оборудования, соединенного в единую систему с целью передачи данных из одного места в другое. Мобильная система управляет потоком передаваемой информации. Набор правил, регулирующий процесс передачи данных между точками сети называется протоколом. Главная функция сетевых протоколов: идентифицировать каждое участвующее устройство; проверить, не нуждаются ли данные в повторной передаче (при ошибке повторить передачу заново). Мобильное приложение – компонент, устанавливаемый на мобильные устройства, подключающийся к серверу мобильной системы и управляющий пользовательским интерфейсом и бизнес-логикой мобильного устройства. Безопасность приложений (англ. Application Security) включает в себя меры, принимаемые на протяжении всего жизненного цикла приложении, чтобы предотвратить нарушения (уязвимости) политики безопасности приложений или основной системы из-за через недочётов в проектировании, разработке, развертывании, обновлении или обслуживании приложения. Атакой называется воздействие на компоненты ИС, приводящее к утрате, уничтожению информационного ресурса или сбою функционирования носителя информации или средства управления программно-аппаратным комплексом системы. Уязвимость – некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации. Угроза — совокупность условий и факторов, создающих опасность нарушения безопасности. Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам. 2. Угрозы и уязвимости мобильных устройствК угрозам и атакам на смартфоне относятся: Сниффинг При сниффинге пакеты перехватываются в эфире и декодируются. Таким образом, все абоненты сетей GSM находятся под угрозой атак сниффинга. Доступны и программы для прослушки смартфонов, работающих в сетях 3G и 4G. Спам Спам может распространяться по электронной почте или в MMS-сообщениях. В таких сообщениях могут содержаться URL, переадресующие пользователей на сайты фишинга или фарминга. С помощью MMS-спама также возможна организация атак, приводящих к отказу в обслуживании. Самозванство Еще одна угроза — подделка номера вызывающего абонента, когда атакующий притворяется заслуживающим доверия лицом. Исследователи подделывали MMS, маскируя их под приходящие с номера 611, который применяется операторами США для отправки предупреждений или уведомлений об обновлениях. Существует и возможность подделки идентификаторов базовых станций. Фишинг В ходе фишинговой атаки самозванец может украсть личную информацию, например, имя, пароль или номер кредитной карты. Многие фишинговые атаки происходят в социальных сетях, с помощью электронной почты и MMS. Например, вредоносное приложение может иметь кнопку «Поделиться в Facebook», переадресующую пользователей на поддельный сайт, который может потребовать раскрыть верительные данные и украсть их. Фарминг В ходе атак фарминга веб-трафик смартфона переадресовывается на вредоносный или поддельный сайт. Собрав информацию на смартфоне абонента, злоумышленник может организовать и другие виды атак. Например, когда пользователь открывает сайт на смартфоне, в HTTP-заголовке обычно содержатся сведения об операционной системе аппарата, браузере и его версии. По этим сведениям, атакующий может выяснить бреши безопасности смартфона и адресно инициировать конкретные атаки. Голосовой фишинг («вишинг») При голосовом фишинге злоумышленник пытается получить доступ к финансовой и иной приватной информации владельца смартфона. Он подделывает номер вызывающего абонента, выдавая себя за известного собеседнику человека, и обманным способом заставляет раскрыть конфиденциальные сведения. Утечки данных Утечки данных — несанкционированная передача личной или корпоративной информации. Вредоносные программы могут красть личные сведения: списки контактов, информацию о местонахождении или банковские данные — и отправлять на посторонний сайт. По различным причинам смартфоны также уязвимы для DoS-атак: поскольку смартфоны передают данные в радиоэфире, существует возможность использования «глушителей» для нарушения связи между аппаратом и базовой станцией; в ходе атак «флуда» на смартфон поступают сотни SMS или входящих звонков, в результате чего пользоваться им нельзя; атака, вызывающая истощение батареи, приводит к более быстрому, чем обычно, ее разряду. Дополнение из лекции от 12.09.2017: Триада информационной безопасности: Конфиденциальность – возможность доступа к хранимым и передаваемым данным только со стороны авторизованного пользователя; Целостность данных – определение всех умышленных и неумышленных изменений в хранимых и передаваемых данных; Доступность – обеспечение своевременной доступности корпоративных данных с мобильных устройств. |