10 Бер, 2023

Небезпечне зберігання даних в мобільних додатках

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Небезпечне зберігання даних відноситься до практики зберігання конфіденційних або особистих даних незахищеним або легкодоступним способом. У контексті мобільних додатків небезпечне зберігання даних може виникати, коли програми зберігають конфіденційну інформацію, таку як паролі, особисту ідентифікаційну інформацію, фінансові дані або іншу конфіденційну інформацію у файловій системі або базі даних пристрою без належного шифрування або захисту.

Мобільні додатки які зберігають дані користувача небезпечно, можуть бути уразливі для злому, витоку інформації або несанкціонованого доступу. Це може призвести до компрометації конфіденційної інформації користувача, крадіжки особистих даних, фінансового шахрайства або іншим формам кіберзлочинності.

Приклад уразливого коду на різних мовах програмування:


На мові Java,
приклад уразливого коду для небезпечного зберігання даних в мобільних додатках може виглядати наступним чином:

				
					private void saveCredentials(String username, String password) {
    try {
        FileOutputStream fos = openFileOutput("credentials.txt", Context.MODE_PRIVATE);
        fos.write(username.getBytes());
        fos.write(password.getBytes());
        fos.close();
    } catch (Exception e) {
        e.printStackTrace();
    }
}

				
			


У наведеному вище коді saveCredentials метод використовується для зберігання облікових даних користувача у файлі під назвою "credentials.txt" в каталозі особистих даних програми. Однак цей код не використовує ніяких методів шифрування або хешування для захисту даних користувача. Таким чином, якщо зловмисник отримає доступ до пристрою, він може легко отримати ім'я користувача та пароль користувача.

В Swift, приклад уразливого коду для небезпечного зберігання даних в мобільних додатках може виглядати наступним чином:

				
					func saveCreditCardInfo(cardNumber: String, expirationDate: String, cvv: String) {
    let filePath = getDocumentsDirectory().appendingPathComponent("creditcard.txt")
    do {
        try "\(cardNumber),\(expirationDate),\(cvv)".write(to: filePath, atomically: true, encoding: .utf8)
    } catch {
        print("Error saving credit card info")
    }
}

				
			


У наведеному вище коді saveCreditCardInfo метод використовується для зберігання інформації про кредитну картку користувача у файлі під назвою "creditcard.txt" в каталозі документів додатка. Однак цей код не використовує ніяких методів шифрування або хешування для захисту даних користувача. Таким чином, якщо зловмисник отримає доступ до пристрою, він може легко отримати інформацію про кредитну картку користувача.

В Python, приклад уразливого коду для небезпечного зберігання даних в мобільних додатках може виглядати наступним чином:

				
					def savePersonalInfo(name, email, phone):
    with open('personalinfo.txt', 'w') as file:
        file.write(name + ',' + email + ',' + phone)

				
			


У наведеному вище коді savePersonalInfo функція використовується для зберігання особистої інформації користувача у файлі під назвою "personalinfo.txt" у поточному каталозі програми. Однак цей код не використовує ніяких методів шифрування або хешування для захисту даних користувача. Таким чином, якщо зловмисник отримає доступ до пристрою, він може легко отримати особисту інформацію користувача.

Приклади використання небезпечного сховища даних в мобільних додатках

Крадіжка облікових даних:

Зловмисник може використовувати небезпечне сховище даних в мобільних додатках для крадіжки облікових даних користувача для входу в систему. Наприклад, якщо додаток зберігає ім'я користувача і пароль користувача у вигляді відкритого тексту, зловмисник отримав доступ до пристрою, може легко отримати ваші облікові дані і використовувати їх для входу в обліковий запис користувача. Це може призвести до крадіжці особистих даних, фінансового шахрайства або іншим формам кіберзлочинності.

Маніпулювання даними:

Зловмисник може використовувати небезпечне сховище даних в мобільних додатках для маніпулювання даними користувача. Наприклад, якщо додаток зберігає фінансові дані користувача без належного шифрування, зловмисник отримав доступ до пристрою, може змінити дані для переказу грошей або вчинення несанкціонованих транзакцій. Це може призвести до фінансових втрат і пошкодження кредитного рейтингу користувача.

Несанкціонований доступ:

Зловмисник може використовувати небезпечне сховище даних в мобільних додатках для отримання несанкціонованого доступу до даних користувача. Наприклад, якщо додаток зберігає особисту інформацію користувача без належного шифрування, зловмисник отримав доступ до пристрою, може прочитати або записати дані. Це може призвести до крадіжці особистих даних, атак соціальної інженерії або іншим формам кіберзлочинності.

Установка шкідливого ПО:

Зловмисник може використовувати небезпечне сховище даних в мобільних додатках для встановлення шкідливого ПО на свій пристрій. Наприклад, якщо програма зберігає дані користувача без належного шифрування, зловмисник отримав доступ до пристрою, може впровадити шкідливий код в дані для виконання довільних команд або завантаження та встановлення шкідливих програм. Це може призвести до повної компрометації пристрою і користувальницьких даних.

Методи підвищення привілеїв для небезпечного зберігання даних в мобільних додатках

Укорінення або джейлбрейк:

Зловмисники можуть спробувати скористатися уразливими в мобільній операційній системі, щоб отримати root-доступ або доступ адміністратора до пристрою. Це може дозволити їм обійти блокування додатків і отримати доступ до конфіденційних даних, що містяться у додатках, у тому числі до тих, які зберігаються небезпечно. Укорінення або джейлбрейк також можуть дозволити зловмисникам встановлювати користувальницькі прошивки або програми з підвищеними привілеями.

Атаки типу "Людина посередині" (MitM):

Зловмисники можуть використовувати MitM-атаки для перехоплення мережевого трафіку між додатком і сервером з метою крадіжки даних. У разі небезпечного зберігання даних зловмисник може перехопити дані, які передаються між додатком і сервером, навіть якщо дані зашифровані під час передачі. Це може дозволити зловмиснику отримати доступ до конфіденційних даних, змінити їх або впровадити шкідливий код в додаток.

Використання вразливостей додатків:

Зловмисники можуть спробувати скористатися уразливими в мобільному додатку, щоб отримати підвищені привілеї. Наприклад, якщо додаток використовує небезпечне сховище даних, зловмисник може скористатися уразливістю в додатку, щоб отримати доступ до даних, що зберігаються в додатку. Це може дозволити зловмиснику обійти блокування додатків і отримати доступ до конфіденційних даних, що зберігаються також іншими додатками на пристрої.

Соціальна інженерія:

Зловмисники можуть використовувати методи соціальної інженерії, щоб обманом змусити користувача надати їм доступ до конфіденційних даних або підвищеним привілеїв. Наприклад, зловмисник може відправити користувачеві фішінговий електронний лист або повідомлення з проханням ввести свої облікові дані для входу або встановити шкідливе додаток. Це може дозволити зловмиснику отримати доступ до даних користувача і підвищити його привілеї.

Загальна методологія та контрольний список для небезпечного зберігання даних в мобільних додатках

Методологія:

  1. Визначте типи даних і конфіденційні дані: Перший крок - визначити типи даних, які зберігає додаток, і дані, які вважаються конфіденційними. Це може включати особисту інформацію, облікові дані для входу, фінансову інформацію і інші конфіденційні дані. Важливо розуміти, як додаток зберігає ці дані і які методи шифрування або обфускации використовуються.

  2. Перегляньте вихідний код програми: Потім перегляньте вихідний код програми, щоб виявити будь-які випадки небезпечного зберігання даних. Це може включати жорстко закодовані облікові дані або конфіденційні дані, зберігання конфіденційних даних у вигляді звичайного тексту або слабо зашифрованого формату, а також зберігання конфіденційних даних незахищених загальних налаштуваннях або зовнішньому сховищі.

  3. Використовуйте інструменти тестування: Використовуйте інструменти автоматичного тестування для перевірки програми на наявність вразливостей в небезпечному сховище даних. Ці інструменти можуть виявляти поширені уразливості, такі як зберігання облікових даних у вигляді відкритого тексту або конфіденційних даних, слабке шифрування і відсутність заплутування.

  4. Тестові дані в дорозі: Перевірте, як додаток обробляє конфіденційні дані при передачі, такі як дані, що передаються по протоколу HTTP або незахищеним мережевих підключень. Це може включати в себе використання інструментів мережевого прослуховування для збору даних між додатком і сервером, і аналіз даних на предмет конфіденційної інформації.

  5. Тестові дані в стані спокою: Перевірте, як додаток зберігає конфіденційні дані в стані спокою, наприклад дані, що зберігаються в локальному сховищі, загальних налаштуваннях або зовнішньому сховищі. Це може включати використання інструментів аналізу файлової системи для аналізу сховища даних, додатки і виявлення будь-яких конфіденційних даних, що зберігаються в незахищених місцях.

  6. Перевірте відповідність відповідним стандартам і керівним принципам: Перевірте відповідність додатки відповідним стандартам і керівним принципам, таким як OWASP Mobile Top Ten і галузеві стандарти безпеки. Це може допомогти виявити будь-які додаткові вразливості або прогалини в безпеці програми.

  7. Повідомляти про уразливість і усувати їх: Нарешті, повідомляйте про будь-які виявлені уразливості розробникам додатків і надайте рекомендації з усунення. Розробники повинні приділяти пріоритетну увагу усунення вразливостей, виходячи з їх серйозності і потенційного впливу на дані користувача.

Контрольний список:

  1. Ідентифікувати конфіденційні дані: Визначте типи конфіденційних даних, які збирає і зберігає додаток, таких як особиста інформація, фінансові дані або облікові дані для входу.

  2. Огляд архітектури додатка: Ознайомтеся з архітектурою програми та механізмами зберігання даних, щоб зрозуміти, як збираються, обробляються і зберігаються конфіденційні дані.

  3. Перевірте наявність жорстко закодованих облікових даних: Шукайте примірники жорстко закодованих облікових даних або конфіденційних даних в коді програми або файли конфігурації.

  4. Перевірте наявність сховища звичайного тексту: Перевірте, чи немає випадків, коли конфіденційні дані зберігаються у вигляді звичайного тексту, наприклад, файли конфігурації або базах даних.

  5. Перевірте, чи немає слабкого шифрування: Перевірте, чи немає слабких методів шифрування або алгоритмів, що використовуються для зберігання або передачі конфіденційних даних.

  6. Перевірте, чи немає небезпечних місць зберігання: Перевірте, чи зберігаються конфіденційні дані незахищених місцях, таких як загальні налаштування, зовнішнє сховище або локальне сховище.

  7. Тестові дані в дорозі: Перевірте, як додаток обробляє конфіденційні дані при передачі, такі як дані, що передаються по протоколу HTTP або незахищеним мережевих підключень.

  8. Тестові дані в стані спокою: Перевірте, як додаток зберігає конфіденційні дані в стані спокою, наприклад дані, що зберігаються в локальному сховищі, загальних налаштуваннях або зовнішньому сховищі.

  9. Перевірте відповідність відповідним стандартам: Перевірте відповідність додатки відповідним стандартам і керівним принципам, таким як OWASP Mobile Top Ten або галузевим стандартам безпеки.

  10. Аналізуйте журнали додатків: Аналізуйте журнали додатків, щоб виявити випадки реєстрації конфіденційних даних, які можуть становити потенційну загрозу безпеці.

  11. Використовуйте інструменти тестування: Використовуйте інструменти автоматичного тестування для перевірки програми на наявність вразливостей в небезпечному сховище даних.

  12. Тест на обхід засобів контролю безпеки: Перевірте методи, які можуть обійти засоби контролю безпеки, такі як обхід шифрування або використання отладчиков для перевірки конфіденційних даних.

  13. Перевірте, чи немає залишків даних: Перевірте, чи немає залишків конфіденційних даних, що залишилися на пристрої після видалення програми.

  14. Перевірка безпечного видалення: Переконайтеся, що конфіденційні дані надійно видалені з пристрою при видаленні програми або коли дані більше не потрібні.

  15. Повідомляти про уразливості: Повідомляйте розробникам додатків про будь-які виявлені уразливості і надайте рекомендації з усунення.

Набір інструментів для експлуатації Небезпечне зберігання даних в мобільних додатках

Автоматизовані інструменти:

  • OWASP Mobile Security Testing Guide: Це всеосяжне керівництво, в якому представлені методологія і інструменти для тестування безпеки мобільних додатків. Він включає в себе інструменти для виявлення вразливостей в небезпечному сховище даних, такі як Стандарт перевірки безпеки мобільних додатків (MASVS).

  • MobSF: MobSF (Mobile Security Framework) - це платформа з відкритим вихідним кодом для тестування безпеки мобільних додатків. Він включає в себе ряд модулів автоматизованого тестування, включаючи сканер сховища даних, який може виявляти поширені уразливості в небезпечних сховищах даних.

  • AndroBugs: AndroBugs - це інструмент з відкритим вихідним кодом, який може автоматично сканувати додатки Android на наявність вразливостей в системі безпеки, включаючи небезпечне зберігання даних. Він використовує методи статичного і динамічного аналізу для виявлення вразливостей.

  • QARK: QARK (Quick Android Review Kit) - це інструмент, який може автоматично сканувати додатки Android на наявність вразливостей в системі безпеки, включаючи небезпечне зберігання даних. Він включає в себе ряд тестів, які можуть виявити поширені уразливості, такі як зберігання облікових даних у вигляді відкритого тексту.

  • Scout2: Scout2 - це інструмент оцінки безпеки для мобільних додатків, який може автоматично сканувати програми на наявність вразливостей в системі безпеки, включаючи небезпечне зберігання даних. Він включає в себе ряд тестів, які можуть виявити поширені уразливості, такі як зберігання конфіденційних даних в захищених місцях.

Ручні Інструменти Тестування:

  • Burp Suite: Burp Suite - популярний інструмент для тестування безпеки веб-додатків, але його також можна використовувати для тестування мобільних додатків. Він включає в себе ряд інструментів, які можуть допомогти виявити уразливості в небезпечному сховище даних, такі як перехоплення і аналіз мережевого трафіку.

  • Frida: Frida - це динамічний інструментарій, який можна використовувати для тестування безпеки мобільних додатків. Це дозволяє фахівцям з безпеки змінювати поведінку програми під час виконання, що може допомогти виявити уразливості в небезпечному сховище даних.

  • Apktool: Apktool - це інструмент, який може декомпілювати і розбирати додатки Android, що може допомогти виявити уразливості в небезпечному сховище даних. Його можна використовувати для аналізу коду та ресурсів програми, а також для ідентифікації будь-яких конфіденційних даних, що зберігаються у відкритому тексті або незахищених місцях.

  • Drozer: Drozer - це платформа для тестування безпеки Android, яка може бути використана для виявлення вразливостей в небезпечному сховище даних. Він включає в себе ряд модулів, які можуть бути використані для виявлення вразливостей, таких як модуль небезпечного зберігання даних.

  • Mobexler: Mobexler - це інструмент тестування безпеки мобільних додатків, який може бути використаний для виявлення вразливостей в небезпечному сховище даних. Він включає в себе ряд тестів, які можуть виявити поширені уразливості, такі як зберігання конфіденційних даних в захищених місцях.

Плагіни для браузера:

  • OWASP ZAP: OWASP ZAP (Zed Attack Proxy) - популярний інструмент тестування безпеки веб-додатків, який включає в себе ряд функцій для тестування мобільних додатків. Він включає в себе ряд інструментів для виявлення вразливостей в небезпечному сховище даних, таких як перехоплення і аналіз мережевого трафіку.

  • Postman: Postman - популярний інструмент розробки і тестування API, який можна використовувати для тестування мобільних додатків. Він включає в себе ряд функцій для тестування викликів API, які можуть допомогти виявити уразливості в небезпечному сховище даних.

  • Chrome DevTools: Chrome DevTools - це набір інструментів веб-розробки і налагодження, які можна використовувати для тестування мобільних додатків. Він включає в себе функції для аналізу мережевого трафіку, налагодження коду JavaScript і перевірки HTML і CSS додатків.

Загальна перерахування слабких місць (CWE)

CWE-312: Зберігання конфіденційної інформації у відкритому вигляді: Цей CWE пов'язаний із зберіганням конфіденційних даних у відкритому текстовому форматі, який може бути легко прочитати зловмисниками, якщо дані будуть скомпрометовані.

CWE-313: Зберігання відкритого тексту у файлі або на диску: Цей CWE схожий на CWE-312, але конкретно відноситься до зберігання конфіденційних даних у відкритому текстовому форматі у файлі або на диску.

CWE-522: Недостатньо захищені облікові дані: Цей CWE пов'язаний із зберіганням облікових даних, таких як паролі, імена користувачів або ключі API, в небезпечних місцях, до яких зловмисники можуть легко отримати доступ, якщо дані будуть скомпрометовані.

CWE-523: Незахищена передача облікових даних: Цей CWE пов'язаний з передачею облікових даних по незашифрованим каналах, які можуть бути перехоплені зловмисниками.

CWE-524: Розкриття інформації за допомогою кешування: Цей CWE пов'язаний з кешуванням конфіденційних даних в пам'яті або на диску без належного контролю доступу, до яких можуть отримати доступ неавторизовані користувачі.

CWE-525: Передача інформації через повідомлення про помилку: Цей CWE пов'язаний з витоком конфіденційної інформації через повідомлення про помилки, до яких можуть отримати доступ неавторизовані користувачі.

CWE-526: Вплив інформації через змінні середовища: Цей CWE пов'язаний із зберіганням конфіденційних даних, змінних середовища, до яких можуть отримати доступ неавторизовані користувачі.

CWE-528: Порушення доступності: Цей CWE пов'язаний із зберіганням конфіденційних даних в місці, доступному іншим програмам або користувачам пристрої, що порушує принцип найменших привілеїв.

CWE-937: Неправильний контроль імені файлу інструкції Include / Require у програмі PHP: Цей CWE пов'язаний з включенням файлів програми PHP без належної перевірки імені файлу, що може призвести до включення конфіденційних даних.

CWE-1194: Неправильне поводження з Ресурсом протягом всього терміну його служби: Цей CWE пов'язаний з неправильним управлінням життєвим циклом конфіденційних ресурсів, таких як криптографічні ключі, що може призвести до несанкціонованого доступу до даних.

Топ-5 CVE, пов'язаних з безпечним зберіганням даних в мобільних додатках

CVE-2021-25266 – Уразливість в небезпечному сховище даних дозволяє фізичній зловмисникові з правами root витягувати секретні ключі TOTP з розблокованих телефонів в Sophos Кодів для Android версії 3.4 і старше і перехоплювати X для мобільних пристроїв (Android) до версії 9.7.3495.

CVE-2018-6599 – На пристроях Orbic Wonder Orbic/RC555L/RC555L:7.1.2/N2G47H/329100b:user / release-keys була виявлена проблема, що дозволяє зловмисникам отримувати конфіденційну інформацію (наприклад, вміст текстових повідомлень) шляхом читання копії журналу Android на SD-карті. Загальносистемні журнали Android недоступні безпосередньо стороннім додаткам, оскільки вони, як правило, містять конфіденційні дані. Сторонні додатки можуть зчитувати дані з журналу, але тільки ті повідомлення журналу, які записав сам додаток. Деякі програми можуть передавати дані в журнал Android з-за відсутності очищення повідомлень журналу, що є небезпечною практикою програмування. Встановлені системні програми і додатки, підписані за допомогою ключа Framework, можуть зчитуватися з загальносистемного журналу Android. Ми знайшли передвстановлене додаток на Orbic Wonder, який при запуску з допомогою наміри записує журнал Android на SD-карту, також відому як зовнішнє сховище, через com.ckt.mmitest.MmiMainActivity. Будь-який додаток, який запитує дозвіл READ_EXTERNAL_STORAGE, може зчитувати дані з SD-карти. Таким чином, локальна програма на пристрої може швидко запустити певний компонент у представленому системному додатку, щоб записати журнал Android на SD-карту. Таким чином, будь-який додаток, спільно розташоване на пристрої з роздільною здатністю READ_EXTERNAL_STORAGE, може отримувати дані, що містяться в журналі Android, і постійно відстежувати їх, а також витягувати з журналу відповідні дані. Крім того, програма обміну повідомленнями за замовчуванням (com.android.mms) записує текст відправлених та отриманих текстових повідомлень в журнал Android, а також номер телефону одержувача для відправлених текстових повідомлень та номер телефону для відправки отриманих текстових повідомлень. Крім того, будь-які дані про виклик містять номери телефонів для відправлених і прийнятих викликів.

CVE-2016-10135 – Проблема була виявлена на пристроях LG, використовують чіпсет MTK з програмним забезпеченням L (5.0/5.1), M (6.0 / 6.0.1) і N (7.0), а також на пристроях RCA Voyager Tablet, BLU Advance 5.0 і BLU R1 HD. Додаток MTKLogger з ім'ям пакету com.mediatek.mtklogger містить компоненти програми, доступні для будь-якого додатка, що знаходиться на пристрої. А саме, com.mediatek.mtklogger.framework.LogReceiver і com.mediatek.mtklogger.framework.Компоненти програми MTKLoggerService експортуються, оскільки вони містять фільтр намірів, не захищені користувальницьким дозволом і явно не встановлюють для атрибута android:exported значення false. Таким чином, ці компоненти експортуються за замовчуванням і, таким чином, доступні для будь-якого стороннього додатка за допомогою android.content.Об'єкт наміри для спілкування. Ці компоненти програми можна використовувати для запуску і зупинки журналів з використанням об'єктів Intent з вбудованими даними. Доступними журналами є журнал GPS, журнал модем, мережевий журнал і журнал мобільних пристроїв. Базовий каталог, що містить каталоги з 4 типів журналів, - це /sdcard/mtklog, що робить їх доступними для додатків, яким потрібен дозвіл READ_EXTERNAL_STORAGE. Журнал GPS містить GPS-координати користувача, а також тимчасову мітку для координат. Журнал модему містить AT-команди і їх параметри, які дозволяють одержувати вихідні та вхідні дзвінки користувача і текстові повідомлення. Мережевий журнал представляє собою запис мережі tcpdump. Журнал мобільних пристроїв містить журнал Android, який недоступний для сторонніх додатків починаючи з Android 4.1. Ідентифікатор LG - LVE-SMP-160019.

CVE-2014-0647 – Додаток Starbucks 2.6.1 для iOS зберігає конфіденційну інформацію у вигляді відкритого тексту у файлі журналу Crashlytics (/Library/Caches/com.crashlytics.data/com.starbucks.mystarbucks/session.clslog), який дозволяє зловмисникам виявляти імена користувачів, паролі та адреси електронної пошти через додаток, який зчитує session.clslog. 

CVE-2013-6986 – Додаток ZippyYum Subway CA Kiosk app 3.4 для iOS використовує сховище відкритого тексту в базах даних SQLite cache, що дозволяє зловмисникам отримувати конфіденційну інформацію шляхом зчитування елементів даних, про що свідчать елементи пароля.

Небезпечне зберігання даних в мобільних додатках подвиги

  • Укорінення або джейлбрейк пристрої: Укорінення або джейлбрейк пристрою може забезпечити доступ до конфіденційних даних, що зберігаються на пристрої, які в іншому разі були б недоступні. Це може дозволити зловмисникам отримати доступ і отримати конфіденційну інформацію, таку як реєстраційні дані для входу, фінансову інформацію або особисті дані.

  • Атаки типу "Людина посередині" (MitM): MitM-атаки можуть перехоплювати трафік між мобільним додатком і сервером, що дозволяє зловмисникам красти конфіденційні дані при передачі. Це може бути особливо ефективно, якщо додаток використовує незашифровані канали зв'язку або якщо зловмисник здатний скомпрометувати пристрій або мережу.

  • Атаки з використанням SQL-ін'єкцій: Якщо мобільний додаток зберігає конфіденційні дані в базі даних, атака з використанням SQL-ін'єкцій може дозволити зловмисникам отримувати дані, використовуючи уразливості в коді програми.

  • Атаки на вкидання облікових даних: Якщо облікові дані для входу зберігаються небезпечно, зловмисники можуть отримати їх і використовувати в атаках з використанням облікових даних, які включають в себе використання автоматизованих інструментів для перевірки вкрадених облікових даних на інших веб-сайти і сервіси для отримання несанкціонованого доступу.

  • Налагодження або зворотний інжиніринг: Налагодження або зворотний інжиніринг мобільного додатка може дати уявлення про те, як додаток зберігає й обробляє конфіденційні дані, дозволяючи зловмисникам виявляти уразливості і витягати дані.

  • Доступ до файлової системи: Якщо мобільний додаток зберігає конфіденційні дані до файлової системи пристрою, зловмисник, який має доступ до файлової системи, може отримати дані, звернувшись до відповідних файлів.

  • Несанкціонований доступ до резервних копій: Якщо резервні копії даних мобільного додатка зберігаються небезпечно, зловмисники можуть отримати до них доступ і отримати конфіденційні дані.

  • Атаки з перехопленням даних: Атаки з перехопленням даних включають в себе перехоплення даних при їх передачі між мобільним додатком і сервером, що дозволяє зловмисникам отримувати конфіденційні дані при передачі.

Практикуючись в тестуванні на Небезпечне зберігання даних в мобільних додатках

Налаштування тестового середовища: Створіть тестову середу, імітує типове використання вашого цільового мобільного додатку. Це може включати налаштування мобільного пристрою або емулятора, інсталяцію та налаштування програми з використанням зразків даних.

Виконайте ручне тестування: Використовуйте методи ручного тестування для вивчення програми та виявлення потенційних вразливостей, пов'язаних з безпечним зберіганням даних. Це може включати в себе вивчення файлової системи програми, тестування передачі і зберігання даних програми, а також вивчення вихідного коду програми, якщо він доступний.

Використовуйте інструменти: Використовуйте інструменти для полегшення процесу тестування. Існує кілька комерційних інструментів з відкритим вихідним кодом, які можуть допомогти у виявленні потенційних вразливостей, пов'язаних з безпечним зберіганням даних в мобільних додатках.

Дослідіть відомі уразливості: Дослідіть відомі уразливості, пов'язані з небезпечним зберіганням даних в мобільних додатках, і спробувати відтворити їх у своєму середовищі. Це може допомогти вам краще зрозуміти, як працюють ці уразливості і як їх ідентифікувати в реальних сценаріях.

Практика використання вразливостейПісля того як ви визначили потенційні уразливості, потренуйтеся використовувати їх для отримання доступу до конфіденційних даних. Це може включати такі методи, як укорінення або джейлбрейк пристрою, використання MitM-атак або використання вразливостей SQL-ін'єкцій.

Для вивчення небезпечного зберігання даних в мобільних додатках

Ознайомтеся з документацією і передовими практиками: Почніть з ознайомлення з офіційною документацією та рекомендаціями по розробці мобільних додатків. І Google і Apple мають вичерпну документацію для своїх відповідних платформ, яка охоплює важливі теми безпеки, включаючи зберігання даних.

Пройдіть онлайн-курси: Доступно безліч онлайн-курсів, присвячених безпеки мобільних додатків і, зокрема, небезпечним зберігання даних. Деякі популярні платформи для онлайн-курсів включають Udemy, Coursera і edX.

Читайте книги та статті: Існує безліч книг і статей на тему безпеки мобільних додатків, включаючи небезпечне зберігання даних. Деякі рекомендовані книги по цій темі включають "Безпека мобільних додатків" Хіманшу Двіведі та "Безпека додатків iOS" Девіда Тіля.

Приєднуйтесь до спільноти: Приєднання до спільноти однодумців може стати відмінним способом дізнатися і залишатися в курсі останніх тенденцій і передових практик, пов'язаних з безпекою мобільних додатків. Деякі популярні спільноти включають OWASP, Reddit's / r / netsec і різні групи Slack і Discord, що спеціалізуються на розробці мобільних додатків і безпеки.

Практика, практика, практика: Найкращий спосіб розвинути свої навички роботи з небезпечним зберіганням даних в мобільних додатках - це регулярно практикуватися. Налаштуйте тестову середу і випробуйте різні методи і інструменти тестування. Поекспериментуйте з різними типами вразливостей і дізнайтеся, як їх використовувати.

Книги з оглядом небезпечного зберігання даних в мобільних додатках

Безпека мобільних додатків автор Хіманшу Двіведі – Ця книга охоплює широке коло питань безпеки, пов'язаних з мобільними додатками, включаючи небезпечне зберігання даних. У ньому міститься всебічний огляд ризиків безпеки, пов'язаних з мобільними додатками, та пропонуються практичні поради щодо забезпечення безпеки мобільних додатків.

Безпека додатків iOS автор: Девід Тіль – Ця книга присвячена безпеки додатків iOS і охоплює такі теми, як зберігання даних, мережеве взаємодія і "пісочниця" додатків. Це цінний ресурс для розробників iOS і фахівців з безпеки.

Внутрішні компоненти системи безпеки Android автор: Микола Еленков – У цій книзі докладно розглядається архітектура безпеки операційної системи Android і те, як вона впливає на безпеку мобільних додатків. В ньому розглядаються такі теми, як дозволи додатків, зберігання даних і мережева безпека.

Зламаний Мобільний телефон автор: Лі, Хуан і Реєс – У цій книзі представлено всебічний огляд загроз мобільного безпеки і контрзаходів. В ньому розглядаються такі теми, як шкідливе ПО для мобільних пристроїв, мережева безпека і уразливості в сховищах даних.

Керівництво хакера з мобільним додаткам автор: Домінік Челл та ін. – Ця книга являє собою практичне керівництво з тестування та експлуатації безпеки мобільних додатків. Вона охоплює такі теми, як зберігання даних, криптографія та мережева безпека.

Безпека Android: Атаки і захист Вільям Конфер і Вільям Робертс – У цій книзі докладно розглядається модель безпеки Android і те, як вона може бути використана зловмисниками. В ньому розглядаються такі теми, як зберігання даних, дозволу додатків і мережева безпека.

Android Forensics: Розслідування, аналіз і мобільна безпека для Google Android автор: Ендрю Хуг – Ця книга присвячена судовому аналізу пристроїв і додатків Android, включаючи аналіз сховища даних. Це цінний ресурс для судових слідчих і фахівців з безпеки.

Вивчення безпеки iOS автор: Allister Banks – Ця книга являє собою практичне керівництво з безпеки iOS і охоплює такі теми, як зберігання даних, шифрування і мережева безпека. Це цінний ресурс для розробників iOS і фахівців з безпеки.

Безпека мобільних пристроїв: як захистити, приватизувати і відновити ваші пристрої автор: Тім Снід і Джо Гранд – У цій книзі даються практичні поради щодо забезпечення безпеки мобільних пристроїв і додатків, включаючи безпеку зберігання даних. В ньому розглядаються такі теми, як шифрування, безпечна зв'язок і захист пристроїв.

Мобільна безпека: Керівництво для користувачів Катрін і Стефан Шумахер – Ця книга є керівництвом для користувачів про те, як захистити себе і свої дані на мобільних пристроях. В ньому розглядаються такі теми, як зберігання даних, шифрування пристроїв і безпечна зв'язок.

Список корисних навантажень Небезпечне зберігання даних в мобільних додатках

  • Корисне навантаження від впровадження шкідливого коду: Ці корисні навантаження можуть бути використані для впровадження шкідливого коду в сховище програми і виконання його для крадіжки даних.

  • Велика корисна навантаження на файл: Ці корисні навантаження можна використовувати для перевірки того, чи може додаток обробляти великі файли без збоїв або виникнення інших проблем.

  • Корисна навантаження в нульових байтах: Ці корисні навантаження можуть бути використані для перевірки того, вразливе додаток до атак з використанням нульових байтів.

  • Корисні навантаження SQL-ін'єкцій: Ці корисні навантаження можуть бути використані для перевірки того, вразлива база даних додатка до атак з використанням SQL-ін'єкцій.

  • Корисне навантаження при проходженні шляху: Ці корисні навантаження можуть бути використані для перевірки того, чи є додаток уразливим для атак з обходом шляху.

  • Корисне навантаження міжсайтових сценаріїв (XSS): Ці корисні навантаження можуть бути використані для перевірки того, чи є додаток вразливим для XSS-атак, які можуть дозволити зловмисникам вкрасти дані.

  • Корисне навантаження при обході каталогів: Ці корисні навантаження можуть бути використані для перевірки того, чи є додаток уразливим для атак з обходом каталогу.

  • Корисні навантаження при переповненні буфера: Ці корисні навантаження можуть бути використані для перевірки того, вразливе додаток до атак переповнювання буфера.

  • Корисне навантаження рядка формату: Ці корисні навантаження можуть бути використані для перевірки того, чи є додаток уразливим для атак на формат рядка.

  • Корисне навантаження при включенні локального файлу: Ці корисні навантаження можуть бути використані для перевірки того, чи є додаток уразливим для атак з локальним включенням файлів, які можуть дозволити зловмисникам читати конфіденційні файли.

Як захиститися від небезпечного зберігання даних в мобільних додатках

  1. Використовуйте надійні додатки: Завантажуйте програми для свого пристрою тільки з авторитетних джерел, таких як офіційний App Store, і уважно читайте відгуки та оцінки перед установкою будь-якого додатка.

  2. Оновлюйте свій пристрій і додатка: Регулярно оновлюйте операційну систему вашого пристрою і встановлені програми, щоб переконатися, що у вас є останні виправлення безпеки.

  3. Використовуйте надійні паролі: Використовуйте унікальні і складні паролі для облікових записів пристроїв і додатків, а також розгляньте можливість використання менеджера паролів для безпечного зберігання ваших паролів і управління ними.

  4. Уникайте громадського Wi-Fi: Уникайте використання загальнодоступних мереж Wi-Fi, так як вони можуть бути легко скомпрометовані і використані для крадіжки ваших даних.

  5. Використовуйте шифрування: Увімкніть шифрування для сховища вашого пристрою та використовуйте програми, які пропонують шифрування конфіденційних даних, таких як паролі та особиста інформація.

  6. Use two-factor authentication: Увімкніть двофакторну аутентифікацію для облікових записів вашого пристрою та програми, оскільки це може допомогти запобігти несанкціонований доступ до ваших даних.

  7. Будьте обізнані про дозволи: Будьте обережні з додатками, які вимагають надмірні дозволу або доступ до конфіденційних даних, і уважно вивчіть дозволу, запитувані кожним додатком перед установкою.

  8. Створюйте резервні копії ваших даних: Створюйте резервні копії ваших даних в безпечному місці, наприклад в зашифрованому хмарному сховищі, щоб гарантувати, що ви зможете відновити свої дані у випадку порушення безпеки або збою пристрою.

Висновок

Небезпечне зберігання даних в мобільних додатках це серйозна проблема' яка може піддати конфіденційні дані користувачів ризику несанкціонованого доступу або крадіжки. Розробники мобільних додатків повинні впроваджувати методи безпечного кодування і слідувати рекомендаціям по зберіганню даних, шифрування і контролю доступу, щоб запобігти ці типи вразливостей.

Користувачі також можуть зробити кроки, щоб захистити себе від небезпечного зберігання даних в мобільних додатках, використовуючи надійні програми, постійно оновлюючи свої пристрої та додатки, використовуючи надійні паролі і дотримуючись обережності щодо дозволів додатків і загальнодоступних мереж Wi-Fi.

Регулярне тестування і аудит мобільних додатків можуть допомогти виявити і усунути уразливість в небезпечних сховищах даних, і розробникам слід застосовувати попереджуючий підхід до забезпечення безпеки, щоб забезпечити безпеку своїх додатків і захистити дані користувача. Працюючи спільно, розробники і користувачі можуть допомогти запобігти небезпечне зберігання даних і знизити ризик витоку даних і інших інцидентів безпеки.

Інші Послуги

Готові до безпеки?

зв'язатися з нами