CeBIT 2014: Безопасность Android-приложений должна усилиться
…ведь анализ их исходного кода на наличие уязвимостей многократно ускорится.
Исследователи из Фраунгоферовского института безопасности информационных технологий разрабатывают технологию, которая ускоряет сканирование кода мобильных приложений на наличие проблем с безопасностью. Если сейчас для подробного анализа исходного кода на уязвимости требуется целая ночь, ученые надеются уменьшить это время до нескольких миллисекунд.
На выставке CeBIT 2014, которая проходит в Ганновере, изобретатели продемонстрировали сразу три инструмента: CodeScan нужен для оценки или усиления безопасности готовящихся мобильных программ, два других, Appicaptor и App-Ray, предназначены для выявления брешей в уже развернутых приложениях.
Средство CodeScan для разработчиков позволяет идентифицировать «прорехи» в подсистеме безопасности приложений на основе сочетания статического и динамического анализов. Изначально инструмент ориентировался на Java-приложения, но поскольку большинство Android-программ подготовлены как раз на этом языке программирования, он подходит и для среды «зеленого робота».
Существующие подходы сканирования либо грубы, пытаясь за раз найти только один тип проблем, либо медлительны, не давая возможности сразу же исправить ошибку. CodeScan вначале ищет самые опасные уязвимости — и на это уходят буквально мгновения: анализ ведется во время сохранения файла.
Сервис Appicaptor нужен для выявления тех приложений, которые угрожают безопасности и конфиденциальности или могут нарушить корпоративную политику безопасности. Аналогичная служба App-Ray доступна как разворачиваемая на серверах предприятия.
Исследователи утверждают, что большинство брешей связаны с неправильным использованием API-вызовов или лежат в области потока данных. Что интересно, далеко не все уязвимости связаны с неумышленными ошибками программистов: анализ четырех сотен популярных приложений выявил целый зоопарк сторонних подключаемых рекламных модулей, непрестанно отслеживающих действия пользователя и отправляющих эту информацию создателям.
Многие разработчики неразумно прибегают к симметричной криптографии, то есть пользуются одним ключом для зашифровывания и дешифрования данных: в итоге искомый ключ встраивается непосредственно в код программы. Некоторые забывают изъять функцию журналирования действий пользователя, нужную для отладки приложения: сторонние программы могут прочитать этот журнал, выкрав пароли.
Некоторые уязвимости не так очевидны. Предположим, приложение способно записывать аудиопоток — это не страшно, если речь идет о чем-нибудь вроде WhatsApp и его возможности отправки голосовых сообщений. Но если программа располагает функцией активирования микрофона, опираясь на запланированную в календаре пользователя встречу, это вызывает опасения.
© СОТОВИК