В ожидании DevSecOpsа
«Ростелеком-Солар» представил результаты исследования защищенности мобильных приложений для аренды и покупки недвижимости. Результат оказался удручающим: средний уровень защищенности оказался 2,2 балла из 5 возможных.
Для анализа были выбраны наиболее популярные в категории «Недвижимость» программы, представленные на мобильных платформах Android и iOS: «Циан», «ДомКлик», «Яндекс.Недвижимость», N1.RU, Domofond, Airbnb, Mitula, «Этажи», Indomio, idealista. Уязвимости, обнаруженные специалистами «Ростелеком-Солар», потенциально могут привести к нелегитимному доступу к системе и перехвату чувствительных данных.
«Общий уровень защищенности приложений в категории „Недвижимость“ и тот факт, что iOS и Android-приложения содержат критические уязвимости, вызывают серьезные опасения, — отмечает Даниил Чернов, директор центра Solar sppScreener компании „Ростелеком-Солар“. — Исследуемые программы обрабатывают такие данные, как ФИО, дата рождения, семейное положение, информация о детях, ежемесячный доход, а также паспортные данные (серия, номер, дата выдачи, код подразделения, наименование органа, выдавшего паспорт, регистрация). Уязвимости приложений могут привести к утечке этих данных, что повлечет за собой крайне негативные последствия для пользователей. Подобные риски подчеркивают высокую необходимость внедрения безопасного процесса разработки программного обеспечения».
Положение усугубляется тем, что во многих компаниях используется практика Bring Your Own Device (BYOD), когда личные мобильные устройства применяются и для решения служебных задач, включая доступ к корпоративным системам. «Через мобильные устройства циркулируют достаточно серьёзные с точки зрения бизнеса данные, в том числе и конфиденциальные», — констатировал технический эксперт по защите от кибератак компании Check Point Software Technologies Алексей Белоглазов на конференции AM Live «Защита мобильных устройств». Но при этом, как показал опрос участников данной конференции, в каждой пятой компании не существует модели угроз для возможных атак через мобильные устройства.
Наиболее высокий уровень защищенности среди приложений на платформе Android показало «Domofond Недвижимость. Квартиры: новостройки, дом», а на iOS — Airbnb. Также среди приложений для Android отмечены «Indomio: продажа и аренда дом в Италии, Испании» и idealista, чей уровень защищенности опережает средний показатель.
Исследование показало, что приложения для iOS защищены хуже, чем предназначенные для Android: количество вхождений критических уязвимостей в приложениях на iOS в 30 раз выше. Это, однако, частично компенсируется более высокой защищенностью платформы от Apple.
И, как показывает практика, утечки и кражи данных пользователей мобильных сервисов и устройств не являются умозрительными. Такие инциденты в текущем году зафиксированы в Бразилии, Израиле, Индии, Индонезии, Канаде, Китае, США, Таиланде, Турции, причем каждый из них затронул миллион и более человек.
С другой стороны, ситуация начинает меняться. Внедрение методологий безопасной разработки DevSecOps названо одним из главных направлений развития на будущий год. По оценке DevOps-инженера ГК DZ Systems Ярослава Наконечникова, можно заметить явный тренд на внедрение DevSecOps уже сейчас: все больше компаний начинают применять эту методологию, появляется все больше различных сервисов, упрощающих интеграцию. Внедрять DevSecOps сегодня стало модно, а в крупнейших компаниях сегмента финтех это является фактическим стандартом.
По мнению ведущего эксперта в области безопасности приложений Checkmarx Леона Майстнера, которое он высказал в рамках онлайн-дискуссии «Кабы не было AppSec, или Что делать, когда он есть», необходимо использовать комплексный подход, что наглядно показала ситуация с опасной уязвимостью log4j, которая затронула очень и очень многих, включая инфраструктуру Apple и Google. Одного статического анализа кода уже недостаточно для того, чтобы обезопаситься от возможных уязвимостей нулевого дня в разделяемых библиотеках.