Пентест мобильных приложений: что это и зачем он нужен?

На момент 2022 года, согласно статистическим данным, количество атак на мобильные приложения продолжает неуклонно расти. Разрабатываются технологии, которые позволяют уменьшить количество багов и уязвимостей в приложении (жизненный цикл безопасной разработки, анализаторы кода), но злоумышленники по-прежнему находят слабые места в приложениях и взламывают их.

Дополнительный уровень защиты получится создать, если провести пентест мобильного приложения. Пентест или тестирование на проникновение — это метод оценки защищенности, который подразумевает имитирование деятельности реального злоумышленника. Данный метод является универсальным и поэтому может быть применен не только к компьютерным сетям, но и к веб-сайтам и даже к отдельным программам.

Атака на мобильные приложения и защита от них

Какие могут быть цели злоумышленника при атаке на мобильное приложение? Получить доступ к конфиденциальной информации, например. Если какой-либо банк разработал мобильное приложение, то в нём наверняка будут храниться учетные данные пользователей, информация об их платежах и об остатках средств на счетах. Получив доступ к приложению, злоумышленник может перевести деньги на свой счёт либо заставить пользователя обманным путем отдать свои средства. Также злоумышленник может создать копию приложения и внедрить в неё вредоносный код, который будет отправлять злоумышленнику информацию о пользователях и даст контроль над счетами. Последствия могут быть разнообразными, и поэтому возникает необходимость в защите от таких атак.

Основными методами тестирования безопасности приложений на настоящий момент остаются технологии безопасной разработки, а также статическое и динамическое тестирование кода. Несмотря на это, всё чаще производители мобильных приложений обращаются к сторонним фирмам, предоставляющим услуги тестирования на проникновение, чтобы своевременно получить информацию о возможных способах взлома приложения и внедрить дополнительные защитные меры.

Методики проведения тестирования

Одной из самых популярных методик проведения пентеста мобильных предложений является фреймворк, созданный OWASP — независимой организацией, изначально специализировавшейся на безопасности веб-приложений. Методика называется Mobile Security Testing Guide (MSTG), или «Руководство по тестированию мобильных приложений». Руководство содержит набор методик тестирования и последующей оценки результатов тестирования. В зависимости от функционала мобильного приложения проверяемые аспекты могут быть гибко настроены.

Кроме указанного выше фреймворка, можно воспользоваться менее профильными руководствами – например, OSSTMM, ISSAF или NIST SP 800-115. Эти разработки регламентируют не столько анализ мобильных приложений, сколько процесс тестирования на проникновение и достижение максимальной площади покрытия процедурами тестирования.

Что проверяется

Возможно разделить направления тестирования на несколько групп в зависимости от канала воздействия. Так, большое внимание уделяется проверке механизмов сетевого взаимодействия — используемых технологий шифрования трафика, установления каналов связи. Проверяются механизмы взаимодействия пользователя с приложением — возможность перехвата сессий доступа, получения информации о других пользователях приложения путем атак на базы данных, обхода процедур аутентификации.

Дополнительно изучается возможность обратной разработки приложения с целью получения исходного кода, исследуется архитектура мобильного приложения и механизмы хранения внутренней информации — учетных данных или иных.

Выводы

Оценка защищенности мобильных приложений с течением времени становится всё большей необходимостью. Проблемы с доверием как к поставщикам мобильных приложений (Google Play, App Gallery и т. д.), так и к сторонним сайтам, предлагающим установку приложений из apk-файлов, говорят о том, что разработчикам мобильных приложений нужно самостоятельно заботиться о безопасности их продуктов. «Традиционные» методы тестирования кода не всегда обеспечивают безопасность приложения в целом, поэтому для получения информации о реальной защищенности рекомендуется проводить пентест мобильного приложения.