Анализ защиты мобильных приложений facebook, instagram, linkedin,...
TRANSCRIPT
Анализ защиты мобильных приложений Facebook, ВКонтакте, Instagram, «Одноклассники», LinkedIn
©2016, ОАО «ИнфоТеКС».
Мобильные приложения Широкий сектор
доступных возможностей Онлайн 24х7х365 Большой объём данных Наличие критичных
данных
©2016, ОАО «ИнфоТеКС».
Риски мобильных приложений
Динамичный характер приложений
Заброшенные проекты Исправление ошибок –
долго и только для новой версии
Заказная разработка
©2016, ОАО «ИнфоТеКС».
(Не-)Защищённость данных Персонифицирующие
данные Учётные данные Документы, почта Прочие данные
2016 NowSecureMobile Security Report
©2016, ОАО «ИнфоТеКС».
Социальные сети
©2016, ОАО «ИнфоТеКС».
Соцсети и данные Адресная книга и
профили пользователей Аналитика Браузерная информация Гео, навигация и карты Данные аккаунта Данные приложения Данные устройства Информация о событиях
Логи Медиа Персональная
информация Платежи Сообщения Социальная информация Учетные данные
VK OK LinkedIn Instagram Facebook
К-во лок
данных; 98
К-во сетев данных; 148
К-во данных; 246
©2016, ОАО «ИнфоТеКС».
Соцсети и данные
Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS0
10
20
30
40
50
60
24
1420
13 12
34
19
27
18
30
58
33
47
31
42
К-во данных в iOS-приложениях
К-во лок данных К-во сетев данных К-во данных
Facebook Android
VK Android OK Android LinkedIn Android Instagram Android
0
10
20
30
40
50
60
23
1319
12 14
34
19
33
18
30
57
32
52
30
44
К-во данных в Android-приложениях
К-во лок данных К-во сетев данных К-во данных
©2016, ОАО «ИнфоТеКС».
Соцсети и защищённость
Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS0.00
2.00
4.00
6.00
8.00
10.00
3.79
4.755.08
4.04
5.544.682.89 3.67
4.00
3.60
4.313.68
4.274.02
4.15
Защищённость данных iOS
Ср.Локал Ср.Сетев Ср
Facebook Android
VK Android OK Android LinkedIn Android
Instagram Android
0.00
1.00
2.00
3.00
4.00
5.00
6.00
7.00
8.00
9.00
10.00
3.50
4.73
3.50 3.50 3.50
4.682.89 3.64 4.00
3.60
4.203.64 3.59 3.80 3.57
Защищённость данных Android
Ср.Локал Ср.Сетев Ср
©2016, ОАО «ИнфоТеКС».
Facebook iOS & Android• Группы данных
• Данные аккаунта• Адресная книга и профили
пользователей• Аналитика• Данные приложения• Браузерная информация• Учетные данные• Данные устройства• Информация о событиях• Гео, навигация и карты• Медиа• Социальная информация
• Уровни защищённости• Браузерная информация – нет защиты
• Собственный браузер• Данные приложения – частично защищено от
MITM атак (требуется доверенный сертификат). Однако, здесь присутствуют:
• Логгируемые данные• Учётные данные (пароли)• Учётные данные (пароли приложений)• История транзакций• Общие данные профиля• Учетные данные (ИД)• Данные карты• Неполные данные карты
• Остальные данные – SSL Pinning• Только детальные данные аккаунта были
недоступны в резервной копии устройства
©2016, ОАО «ИнфоТеКС».
VK iOS & Android• Группы данных
• Данные аккаунта• Адресная книга и профили
пользователей• Учетные данные• Медиа• Сообщения• Персональная информация• Социальная информация
• Уровни защищённости• Данные VK for iPhone частично
защищено от MITM атак (требуется доверенный сертификат). Остальные данные VK for iPad и VK for Android– предустановленный сертификат для MITM не требуется
• Только медийные данные всех групп были недоступны в резервной копии устройства
©2016, ОАО «ИнфоТеКС».
OK iOS & Android• Группы данных
• Данные аккаунта• Адресная книга и профили
пользователей• Аналитика• Данные приложения• Браузерная информация• Учетные данные• Информация о событиях• Логи, Медиа, Сообщения• Платежи• Персональная информация
• Уровни защищённости• Медийная информация разных
категорий – нет защиты• In-App платежи для iOS – защищены
SSL-Pinning со стороны Apple• Остальные данные, вкл. In-App
платежи и данные карты частично защищено от MITM атак (требуется доверенный сертификат).
• Только медийные и конфиг. данные разных групп были недоступны в резервной копии устройства
©2016, ОАО «ИнфоТеКС».
LinkedIn iOS & Android• Группы данных
• Данные аккаунта• Адресная книга и профили
пользователей• Учетные данные• Медиа• Сообщения• Персональная информация• Социальная информация
• Уровни защищённости• Все сетевые данные
частично защищены от MITM атак (требуется доверенный сертификат).
• Все данные доступны в резервной копии
©2016, ОАО «ИнфоТеКС».
Instagram iOS & Android• Группы данных
• Данные аккаунта• Адресная книга и профили
пользователей• Учетные данные• Медиа• Сообщения• Персональная информация• Социальная информация
• Уровни защищённости• Медийные данные разных групп
– не защищено• Медийные данные• Медийный стрим• Избранное/Ослеживаемое
• Все остальные сетевые данные частично защищены от MITM атак (требуется доверенный сертификат).
• Все данные, кроме медийных и логов доступны в резервной копии, в т.ч. ссылки на медийные файлы
©2016, ОАО «ИнфоТеКС».
Выводы• 5 популярных приложений • 2 популярные ОС• ~250 данных,
из них информация не имеет защиты• Браузерная• Социально-медийная• Медийная
• Приложения имеют проблемы с защитой данных всех или отдельных типов
• Данные приложений дублируются и одни могут защищены хуже других
• За год проверено 700+ приложений
• Групп данных 100+, данных 10K+• Бизнес-логика и механизмы защиты
приложений между ОС отличаются• Много данных дублируется• Много данных внутри одного
приложения защищается по-разному
• В среднем защищённость данных повышается только за счёт механизмов ОС (вклад разработчиков < 50%)
