Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2

5. Тестирование безопасности мобильных приложений

• 
  Тестирование безопасности означает верификацию безопасности системы и анализ рисков, связанный с целостным подходом к защите приложения, хакерским атакам, вирусам, несанкционированным доступом к конфиденциальной информации и т.д.
  
• 
  Главной целью тестирования безопасности является гарантия безопасности сети и информации.
  
• 
  Ключевые действия для проверки безопасности мобильного приложения:
  
• 
  убедиться, что данные пользователей приложения (логины, пароли, номера кредитных карт) защищены от атак автоматических систем и не могут быть обнаружены путем отбора;
  
• 
  проверить, не предоставляет ли приложение доступ к секретному контенту или функционалу без должной аутентификации;
  
• 
  убедиться, что система безопасности приложения требует надежный пароль и не позволяет хакеру использовать пароли других пользователей;
  
• 
  проверить, является ли время проведения сессии приложения соответствующим;
  
• 
  найти динамические зависимости и принять меры для защиты этих уязвимостей от хакеров;
  
• 
  защитить приложение от атак SQL-инъекций;
  
• 
  найти случаи неуправляемого кода и устранить последствия;
  
• 
  убедиться, что срок действия сертификата не истек, если приложение использует Certificate Pinning;
  
• 
  защитить приложение и сеть от DoS-атак;
  
• 
  проанализировать требования по хранению и проверке данных;
  
• 
  обеспечить управление сессий для защиты информации от несанкционированных пользователей;
  
• 
  изучить все криптографические коды и исправить ошибки, если необходимо;
  
• 
  убедиться, что бизнес-логика приложения защищена и не подвержена воздействию внешних атак;
  
• 
  проанализировать взаимодействие системных файлов, выявить и исправить уязвимости;
  
• 
  проверить блоки управления протоколами (к примеру, не подвергается ли страница сбросу по умолчанию с помощью вредоносных iFrames);
  
• 
  защитить приложение от вредоносных атак;
  
• 
  обезопасить систему от вредоносных вторжений во время работы программы;
  
• 
  предотвратить небезопасное хранение данных в памяти устройства;
  
• 
  исключить возможные вредные действия куки;
  
• 
  обеспечить регулярный контроль безопасности информации;
  
• 
  изучить пользовательские файлы и предотвратить их возможное вредоносное влияние;
  
• 
  освободить систему от случаев переполнения буфера или от нарушения целостности памяти;
  
• 
  провести анализ разных потоков данных и обезопасить системы от потенциального вредоносного влияния.
  

6. Управление мобильными устройствами

7. Жизненный цикл решений по безопасности мобильных устройств

• 
  Инициация
  
• 
  Конфиденциальность работы
  
• 
  Уровень доверия в соблюдении политик безопасности
  
• 
  Издержки
  
• 
  Расположение рабочего места
  
• 
  Технические ограничения
  
• 
  Соответствие регламентам
  
• 
  Разработка
  
• 
  Архитектура
  
• 
  Аутентификация
  
• 
  Криптография
  
• 
  Конфигурация
  
• 
  Сертификация
  
• 
  Внедрение
  
• 
  Эксплуатация и обслуживание
  
• 
  Удаление
  

8. Угрозы и уязвимости мобильных телекоммуникационных систем