Každý tretí človek na svete vlastní smartfón. Analytici odhadujú, že tento rok si používatelia do svojich mobilných zariadení stiahnu viac ako 205 miliárd-krát nejakú mobilnú aplikáciu. Ich bezpečnosť je vo väčšine prípadov otázna. Existuje však niekoľko spôsobov, ktorými môžete docieliť naozaj vysoké zabezpečenie vašej aplikácie.
Testovanie mobilných aplikácií je veľmi podceňovaná oblasť, ktorá si najmä v tejto dobe zaslúži špeciálnu pozornosť. Smartfóny v mnohých prípadoch nahrádzajú počítače a stávajú sa zariadeniami, v ktorých uchovávame mnohé citlivé údaje.
Pre black-hat hackerov sú zaujímavým cieľom a často je práve nezabezpečená mobilná aplikácia nástrojom ich útoku. Zaručenie bezpečnosti mobilnej aplikácie je ochranou nie len pre jej používateľov, ale aj pre vývojárov a vydavateľov aplikácií.
Na čo treba prihliadať pri testovaní bezpečnosti mobilných aplikácií?
Mnohé bezpečnostné spoločnosti ponúkajú vlastný návod na testovanie bezpečnosti mobilných aplikácií. Vo všeobecnosti ale možno povedať, že je potrebné testovať nielen samotnú aplikáciu (povedzme v rámci jej kódu), ale aj všetky rozhrania, ku ktorým je pripojená. Preto je vhodné testovať:
- množstvo, oprávnený zber a typ citlivých dát, ktoré spracúva aplikácia,
- autentifikáciu, autorizáciu a ukladanie citlivých dát v rámci aplikácie a jej alokovanej pamäte,
- prenos dát do / z aplikácie a ich ochranu (šifrovanie a integritu dát),
- bezpečnosť implementovania API rozhraní a služieb tretích strán,
- overenie prístupu aplikácie k systémovým dátam,
- prepojenie na váš interný systém (server) a pravidlá komunikácie s aplikáciou.
V tomto prípade je vhodné využiť statické aj dynamické testovanie bezpečnosti, forenznú analýzu jej správania, ako aj interaktívne bezpečnostné testy, ktoré simulujú priamo správanie používateľov.
Na tieto a mnohé ďalšie body súvisiace priamo či nepriamo s bezpečnosťou mobilných aplikácií upozorňujú aj verejne dostupné príručky a publikácie spracúvajúce túto tematiku.
OWASP Mobile Security Testing Guide
Existuje viacero možností ako testovať bezpečnosť mobilných aplikácií. Projekt OWASP Mobile Security Testing Guide je jedným z najpopulárnejších, najmä vďaka svojej komplexnosti a otvorenému charakteru.
V druhom kvartáli tohto roka vyjde nové, aktuálne vydanie MSTG publikácie. Bude obsahovať návod na testovanie bezpečnosti aplikácií už počas ich vývojového cyklu, ale aj návod na statické a dynamické testovanie bezpečnosti aplikácií, informácie o reverznom inžinierstve a falšovaní, či o posúdení bezpečnosti už existujúcich mobilných aplikácií.
Zdroj: PRNewsWire
Kým bude táto publikácia dokončená, môžete sledovať jej vývoj priamo na webe OWASP-u, prípadne si stiahnuť jej early bird verziu. Ako návod na testovanie bezpečnosti mobilných aplikácií tiež dovtedy môžete využiť publikáciu OWASP Mobile Application Security Verification, ktorá opisuje moderné štandardy mobilnej bezpečnosti.
The Mobile Application Hacker’s Handbook
Hoci kniha The Mobile Application Hacker’s Handbook vyšla už v roku 2015, aj dnes predstavuje praktického sprievodcu testovaním bezpečnosti mobilných aplikácií. Témy pokrývajú hľadanie bezpečnostných zraniteľností v systémoch Android, iOS, Blackberry, ale aj Windows Mobile, s dôrazom na praktickosť ukážok a ponúkaných informácií.
The Mobile Application Hacker´s Handbook
Testerom ponúka táto publikácia návod na hodnotenie, objavenie, prevenciu, narušenie a nápravu rôznych bezpečnostných chýb a útokov. Výhodou je spracovanie témy z pohľadu black-hat hackera, ktoré dodá nadhľad a potrebné znalosti aj etickým hackerom alebo všeobecne testerom bezpečnosti.
Testovacie aplikácie a open source nástroje
Okrem príručiek a iných publikácií môžu bezpečnostným testerom pomôcť pri práci aj rôzne nástroje na testovanie bezpečnosti mobilných aplikácií. Tie často priamo v sebe integrujú súbor best practices postupov.
Burp Suite by Portswigger
Jeden z najkomplexnejších nástrojov na testovanie bezpečnosti pokrýva viac ako 100 typov zraniteľností. Okrem automatických testov ponúka Burp Suite aj priamo testovanie kódu mobilných aplikácií, či Interactive Application Security Testing (IAST) pre testovanie reálnych prípadov používania aplikácie.
Výhodou je, že súčasťou testovacieho balíka sú aj mnohé automatizované, poloautomatizované, či plne manuálne testy zamerané na rôzne typy bezpečnostných zraniteľností. Tie okrem iného ponúkajú aj rozšírené nastavenia a exporty výsledkov v prehľadných HTML reportoch. Profesionálna licencia Burp Suite stojí 329 EUR/na rok pre jeden počítač, no tvorcovia ponúkajú aj oklieštenú „komunitnú“ verziu zadarmo.
Burp Suite Editions
OWASP Zed Attack Proxy Project (OWASP ZAP)
Open source nástroj, ktorý slúži na automatické, ale aj manuálne testovanie bezpečnosti aplikácií. Jeho uplatnenie nájdu testeri a vývojári najmä vo fáze vývoja aplikácie. Tento nástroj podporuje pasívne aj aktívne testovanie, simulácie útokov hrubou silou, ako aj testovanie na fuzzing, testovanie API, portov, rozhraní, či SSL certifikátov. Vďaka jednoduchému ovládaniu je obľúbený medzi menej aj viac pokročilými testermi.
QARK
Quick Android Review Kit, skrátene QARK, je nástroj pre bezpečnostných testerov a white-hat hackerov na skenovanie kódu mobilných Android aplikácií, ktorý dokáže odhaliť potenciálne bezpečnostné zraniteľnosti. Ide rovnako o open source riešenie, ktoré je dostupné bezplatne pre všetkých. Praktickou je funkcia generovania dynamických ADB príkazov, ktoré overia prítomnosť objavených zraniteľností.
Devknox
Nástroj Devknox je oproti iným riešeniam spomenutým v tomto článku trochu netradičný. Funguje totižto v reálnom čase a kontroluje bezpečnosť kódu aplikácie, ktorý aktuálne píšete. Upozorní vás na možnú zraniteľnosť kódu a v mnohých prípadoch navrhne aj ich odstránenie (pomocou 1-click riešenia). Okrem toho ponúka aj ďalšie skeny, či možnosť generovania automatických hlásení o bezpečnosti vašej aplikácie.
Devknox
Aktuálne však komerčná verzia tohto nástroja stratila oficiálnu podporu a autori pripravujú open source riešenie, ktoré by malo byť dostupné už čoskoro.
MobSF
Mobile Security Framework je automatizovaný nástroj na testovanie Android a iOS aplikácií. Ponúka dynamické aj statické analýzy bezpečnosti, ako aj testovanie webových API rozhraní. Podporuje aj test APK & IPA balíkov, či komprimovaných kódov aplikácií. Dostupný je ako open source nástroj priamo cez GitHub.
ADB
Android Debug Bridge je základný nástroj, ktorý by si mal nainštalovať každý tester bezpečnosti Android aplikácií. Vytvoril ho priamo Google a skladá sa z 3 častí – klientskej, serverovej a daemon-a (adbd), ktorý beží ako proces na pozadí každého zariadenia (jeho systému) a umožňuje developerovi či testerovi vykonávať na zariadení vzdialené príkazy. Okrem toho podporuje ADB aj pripojenie na emulátory, takže je možné aplikáciu a jej bezpečnosť testovať aj bez fyzického zariadenia.
Komerčné riešenia
V súčasnosti je možné na testovanie bezpečnosti mobilných aplikácií využívať aj rôzne komerčné riešenia. Tie sú dostupné ako komplexné balíky ponúkajúce hneď niekoľko statických či dynamických testov, analýz a možností reportovania zraniteľností.
WhiteHat Sentinel Mobile
Samostatné riešenie pre posúdenie a testovanie bezpečnosti mobilných aplikácií ponúka spoločnosť WhiteHat, ktorá je vo svete online bezpečnosti známa. Súčasťou tohto riešenia sú moderné nástroje a postupy testovania, ktoré okrem bezpečnosti samotného kódu umožňujú testovať aj biznisové procesy a prácu s dátami.
Whitehat Security
Veracode Mobile Application Security Testing (MAST)
MAST je riešenie pre testovanie bezpečnosti Android a iOS aplikácií, ktoré vývojárom umožňuje rýchle rozpoznanie bezpečnostných rizík a stanovenie ich potenciálneho nebezpečenstva. Ide o model SaaS, ktorý ponúka rôzne skeny, ale aj behaviorálne testy aplikácií, ktoré imitujú reálne správanie ľudí. Navyše, služba ponúka aj ďalšie nástroje na testovanie bezpečnosti mobilných zariadení priamo pod jedným účtom vo svojej platforme Veracode Application Security Platform.
Synopsys Mobile Application Security Testing
Komplexný nástroj na testovanie bezpečnosti mobilných titulov ponúka aj Synopsys. Mobile AST, ako sa riešenie v skratke nazýva, je súborom statických a dynamických testov bezpečnosti, ktoré sa zameriavajú špeciálne na mobilné platformy. Okrem toho dokáže Synopsys testovať aj biznisové procesy aplikácie, ako aj jej tok dát či spoluprácu so systémom zariadenia a inými aplikáciami.
Zdroj: Pixabay
Testovanie mobilných aplikácií pomocou bug bounty programu
Alternatívou ku tradičným (často nedostatočným) testom bezpečnosti mobilných aplikácií sú bug bounty programy. Ich výhodou je nielen úspora financií, keďže spoločnosť platí len za reálne objavené zraniteľnosti, ale aj možnosť prispôsobenia sa podmienkam daného projektu. Priamo spoločnosť (vývojár) môže určiť, čo chce vo svojej mobilnej aplikácii testovať a aké odmeny za to ponúkne etickým hackerom.
Príkladným bug bounty programom, ktorý slúži na testovanie bezpečnosti mobilných aplikácií, je Google Vulnerability Reward Program (VRP) s odmenami do výšky až $31,337. Google v ňom vyzýva etických hackerov na nájdenie zraniteľností vo svojich online službách, ale aj vo vlastných mobilných aplikáciách, ktoré publikoval v Google Play Store, iTunes či Chrome Web Store.
Formou bug bounty (White Hat) programu testuje bezpečnosť svojich aplikácií aj Facebook. Nejde však len o derivácie mobilnej aplikácie samotného Facebooku, ale aj „dcérskych“ služieb – Oculus, Instagram, WhatsApp, Moves či Onavo. Výška odmien za nájdenie bezpečnostnej zraniteľnosti závisí od jej dopadu, no poľahky sa môže prehupnúť aj cez hranicu $10,000.
Na bezpečnosti mobilných titulov si dáva záležať aj populárny správca hesiel Dashlane. Okrem zraniteľností jeho webového rozhrania sa zaujíma aj o bezpečnostné nedostatky desktopových a mobilných aplikácií. Maximálna výška odmien dosahuje $1000 a Dashlane cez svoj bug bounty program už vyplatil odmeny v hodnote viac ako $20,000.
Testovanie online bezpečnosti pomocou bug bounty programov začína byť veľmi populárne aj v Európe a využívajú ho aj firmy medzinárodného charakteru. Ak chcete moderne a cenovo efektívne testovať bezpečnosť vašej mobilnej aplikácie aj vy, môžete si založiť svoj vlastný bug bounty program.
