Заказчику потребовалось исследовать мобильное приложение для Android, iOS и Windows на предмет рисков, связанных с кражей и неправомерным использованием интеллектуальной собственности.
Отзыв Орфограф о проделанной работе
Благодарим сотрудников ПМ, занимавшихся исследованием мобильного приложения «Дай 5» для платформ Android, iOS и Windows 8. Ответственный подход, обязательность и высокий профессионализм специалистов предопределили успешное завершение проекта.Задачи проекта
- Обнаружить уязвимости клиентских приложений.
- Получить несанкционированный доступ к контенту или данным учётных записей, хранимых в файловой системе мобильного устройства.
- Перехватить контент или данные учётных записей в трафике между клиентским приложением и серверной частью платформы.
- Модифицировать мобильные приложения для отмены или обхода механизмов защиты контента или данных учётных записей.
- Осуществить несанкционированный перенос контента или учётных данных между устройствами в обход стандартной процедуры.
- Проанализировать результаты и дать рекомендации, как улучшить безопасность мобильных приложений.
Решение
Сотрудники ПМ исследовали клиентскую часть мобильного приложения и канал связи между клиентской частью и серверной. При этом использовался метод «черного ящика»: к началу работ исследователи не обладали информацией об архитектуре приложения, её функциональных возможностях и прочем.
Результаты
Были обнаружены десять уязвимостей для каждой из платформ, из них пять — критичных для кражи контента или ключей защиты контента (в том числе уязвимость серверной части приложения).
Эксплуатируя эти уязвимости, удалось реализовать пять атак, в том числе получить несанкционированный доступ к учётным данным и осуществить неправомерный перенос контента на неавторизованное устройство.
По результатам исследования эксперты ПМ выработали рекомендации по защите данных на всех уровнях, а именно:
- Обфусцировать код, ответственный за генерацию ключа и шифрование всех критичных объектов доступа, хранящихся в файловой системе мобильного устройства;
- Для данных, передаваемых между серверной и клиентской частью, — использовать базовые и дополнительные (дополнительный уровень / слой шифрования) механизмы защиты трафика, в том числе обфускацию критичных данных;
- Для данных на мобильном устройстве — обфусцировать критичные данные, например, криптографические ключи.
Применив рекомендации, заказчик снизил риски, связанные с кражей и неправомерным использованием интеллектуальной собственности, и тем самым снизил вероятность убытков и репутационных потерь.
Связанные услуги