Анализ защищенности мобильных приложений

Каждый банк, предоставляющий сервис интернет-банкинга, как правило, располагает мобильным приложением. Серверная часть мобильного приложения — это потенциальная точка проникновения во внутреннюю сеть банка для дальнейшего нанесения финансового ущерба банку. Недостаточная защищенность самого мобильного приложения на мобильном устройстве влечет за собой риск кражи финансовых средств клиента, а значит, финансовые и репутационные риски для банка.


Решение

Для оценки реальной защищенности мобильного приложения банка мы используем лучшие практики в области оценки защищенности клиентской части мобильных приложений (OWASP Mobile Secrity Testing Guide), так и серверной части (OWASP Web Application Security Guide).

В ходе оценки защищенности клиентской части рассматриваем мобильные приложения на базе ОС Android и iOS. Проводим ручные проверки уязвимостей, согласно базе уязвимостей OWASP Mobile Top 10:

  • защита от обратной разработки;
  • хранение критичных данных на мобильном устройстве;
  • установка безопасного соединения;
  • и другие проверки.

В рамках оценки защищенности серверной части мобильного приложения выполняем:

  • ручной анализ защищенности других сервисов хоста, на котором расположена серверная часть мобильного приложения;
  • тестирование защищенности серверной части мобильного приложения с использованием автоматизированных сканеров уязвимостей;
  • ручные проверки уязвимостей в соответствии с базами уязвимостей OWASP TOP 10 и SANS TOP 25;
  • поиск логических уязвимостей веб-приложения (накручивание денежных средств, нелегитимные переводы денежных средств клиента, доступ к чужим счетам и др.)

Результат

После оказания услуги предоставляем:

  • подробный отчет о найденных уязвимостях мобильного приложения;
  • рекомендации по минимизации рисков информационной безопасности;
  • наглядная эксплуатация критичных уязвимостей;
  • высокоуровневую презентацию для высшего руководства банка c описанием текущего состояния защищенности мобильных приложений.