Menu
Aplikacje mobilne operujące na danych poufnych, w tym finansowych lub o wysokim stopniu prywatności powinny przechodzić weryfikację bezpieczeństwa. Aplikacje te są implementacją klienckiej części modelu komunikacji klient-serwer. Narażenie takich systemów na atak jest mniejsze niż aplikacji serwerowych, które eksponowane są zwykle na szeroki dostęp sieciowy i posiadają dużą powierzchnię ataku. Aplikacje mobilne wykonywane są w systemie operacyjnym urządzenia osobistego i chronione przed dostępem z zewnątrz mechanizmami tego urządzenia. Można sądzić, że kompromitacja jednej aplikacji mobilnej stwarza zagrożenie dla tylko jednego użytkownika. Jednak kompromitacja dowolnej ze stron komunikacji powoduje utratę zaufania do całości komunikacji. Skuteczny atak na aplikację mobilną ma tak samo katastrofalne skutki dla pojedynczego użytkownika, jak skuteczny atak na serwer. Identyfikacja luki bezpieczeństwa w aplikacji może przy tym stanowić zagrożenie dla innych jej użytkowników, umożliwiając ataki spersonalizowane.
Zagrożenie dla aplikacji mobilnej może pochodzić z innej zainstalowanej aplikacji. Rynek aplikacji jest obecnie ogromny (np. dla platformy Android ponad 3 mln. programów). Duży wybór, interesujące funkcje oraz pobieżna, automatyczna weryfikacja kodów przez właścicieli platform do ich pobierania powodują, że infekcje urządzeń mobilnych są częste. Źle zabezpieczona aplikacja na telefonie czy tablecie może powodować także podatność na ataki na tzw. środek komunikacji klient-serwer (Man-in-The-Middle). Daje to możliwości podsłuchania teoretycznie zaszyfrowanej komunikacji, przez osobę kontrolującą Hotspot WiFi albo inne urządzenia sieciowe.
W ramach usługi wykonywana będzie analiza bezpieczeństwa aplikacji dla platform Android oraz IOS. Analiza może przebiegać w formie BlackBox – bez dostarczenia kodów źródłowych, lub WhiteBox – gdy kody te zostaną udostępnione. W pierwszym wypadku, za zgodą klienta może zostać wykonana dekompilacja w celu rekonstrukcji kodu, tak aby można było wykonać analizę dynamiczną i statyczną. Analiza dynamiczna obejmie interakcję z badaną aplikacją z perspektywy innej aplikacji tego samego systemu operacyjnego, przy różnych poziomach uprawnień. W ramach usługi zostaną przetestowane wszystkie kanały komunikacji międzyprocesowej dostępne na danej platformie, oraz sprawdzenie bezpieczeństwa plikowego repozytorium danych oprogramowania. Usługa przewiduje także czynności zmierzające do przejęcia ruchu sieciowego.
Usługa zakończy się raportem stwierdzającym poziom bezpieczeństwa aplikacji mobilnej wraz z planem działań w celu usunięcia ewentualnych zidentyfikowanych luk.
Wdrożenie usługi wymaga podjęcia ograniczonych działań organizacyjnych i technicznych w celu dostosowania do projektu. Ryzyko świadczenia związane jest ze zmieniającymi się warunkami technicznymi i prawnymi w obszarze IT (średnie). Działania zaradcze i mitygujące obejmą monitorowanie zmian i rozwijanie kompetencji ekspertów w pożądanych kierunkach.
Obecnie powstaje szczególnie dużo aplikacji na urządzenia mobilne, a audyt bezpieczeństwa podnosi koszty wejścia i funkcjonowania podmiotu na rynku usług mobilnych. Usługa audytu skierowana do takiego odbiorcy poprawi konkurencyjność dostawcy aplikacji, a także przyczyni się do poprawy jego ogólnej pozycji na rynku poprzez uniknięcie zagrożeń wynikających ze skutecznego ataku.
Efektem audytu jest raport opisujący wszystkie znalezione podatności i słabości w aplikacji mobilnej. Klient otrzyma plan działań, które pozwolą mu na podniesienie poziomu bezpieczeństwa analizowanej aplikacji, a tym samym zmniejszenie ryzyka wystąpienia incydentu bezpieczeństwa u jej użytkowników i związanych z nim zagrożeń, takich jak utrata wiarygodności, utrata danych czy inne. Po wdrożeniu lub implementacji poprawek klient przedstawia kolejną wersję produktu do weryfikacji ich skuteczności. Po weryfikacji dostarczany jest raport końcowy, który zaświadcza o poziomie bezpieczeństwa aplikacji. W efekcie całego procesu oprogramowanie na urządzenia mobilne uzyskuje odporność na aktualne ataki cybernetyczne.
 |
 |
