Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2
Скачать 80.07 Kb.
|
11. Классификация приложений для мобильных устройствСуществует несколько подходов к классификации приложений для мобильных устройств. По способу установки: платные и бесплатные. По типу контента: развлекательные (мультимедийные), коммуникационные, навигационные, справочные и прикладные. По способу разработки: мобильные сайты, веб-приложения, нативные приложения, гибридные приложения. Остановимся подробнее на данной классификации. Нативные приложения (Native Apps). Такие приложения «живут» на устройстве и доступны через иконки на домашнем экране смартфона. Они устанавливаются через магазин приложений (Google Play или App Store). Разрабатываются специально под конкретную платформу и имеют доступ ко всем функциям устройства – фотокамере, GPS, акселерометру, компасу, списку контактов и т. д. Такие приложения могут использовать систему отправки уведомлений и могут работать в автономном режиме (без доступа к интернету). Это самый ресурсоемкий тип приложений, но при этом он позволяет максимально использовать возможности, предлагаемые каждой конкретной ОС. В результате, нативные приложения выигрывают как по функционалу, так и по скорости работы у других типов мобильных приложений. Мобильные сайты/веб-приложения. Являются самыми распространенными типами приложений для мобильных устройств и представляют собой мини-сайты, которые, во многом похожи на нативные приложения, но отличаются от них. Они запускаются через браузер и написаны на языке HTML5. Люди получают доступ к ним тем же путем, как к любому веб-сайту: они проходят по ссылке, а затем устанавливают их на домашнем экране, создавая закладку для этой страницы. Веб-приложения оптимальны для стартапов: они позволяют достичь большого результата за маленькие деньги и в короткие сроки. Еще один плюс мобильного сайта в сравнении с другими типами приложений – это кроссплатформенность. Гибридные приложения. Гибридные приложения являются частично нативными, частично веб-приложениями. Так же, как нативные приложения, они расположены в магазине приложений и имеют доступ ко многим функциям устройства. Как и веб-приложения, они основаны на HTML, с оговоркой, что браузер встроен в приложение. Часто компании создают гибридные приложения как обертку для существующей веб-страницы; таким образом, они надеются получить присутствие в магазине приложений, не тратя значительные усилия на разработку полнофункционального приложения. Гибридные приложения также популярны, потому что они поддерживают кроссплатформенную разработку и, таким образом, значительно снижают затраты на разработку: те же самые компоненты HTML-кода можно повторно использовать на различных мобильных операционных системах. Гибридные приложения – отличное решение для тех, кто начинает бизнес или хочет проверить свою идею, показать ее инвестору, друзьям. 12. Оценка уровня защищённости некоторых приложенийСогласно отчету Verizon 2017 Data Breach Investigations Report, атаки на веб-приложения — основная причина всех утечек данных и средств из компаний. Это подтверждают и результаты исследования Positive Technologies: популярным способом проникновения во внутреннюю инфраструктуру организаций по-прежнему является эксплуатация уязвимостей в веб-приложениях. Более половины современных веб-приложений содержат критически опасные уязвимости, которые позволяют злоумышленникам проводить различные атаки, в том числе направленные на отказ в обслуживании и кражу персональных данных. Такие уязвимости найдены в 74% веб-приложений телекомов, 67% приложений государственных учреждений и интернет-магазинов, 57% приложений промышленных компаний. Свести к минимуму риск успешной атаки можно, если регулярно проводить анализ защищенности веб-приложений. Опыт компании Positive Technologies, позволяет выполнять работы по анализу защищенности веб-приложений любой сложности. Базовая оценка защищенности веб-приложений производится в ходе других работ, таких как "Технологический тест на проникновение". Этой информации достаточно для получения представления об уровне защищенности той или иной системы. Однако, для идентификации максимального количества недочетов, необходим глубокий анализ всех аспектов реализации приложения. Оценка защищенности веб-приложений может выполняться как с использованием методики "черного ящика", так и путем анализа исходных кодов. Второй способ более эффективен, но и более трудоемок. В ходе работ используются общепринятые методики анализа и оценки безопасности приложений, в разработке которых эксперты Positive Technologies принимают активное участие: OWASP TOP 10, Web Application Security Consortium Thread Classification и Common Vulnerability Scoring System. Анализу подвергаются все компоненты веб-приложения: дизайн, сетевое взаимодействие, настройки ОС, внешние источники данных, хранилища информации, используемые механизмы авторизации и аутентификации, серверные и клиентские компоненты. |