Когда и зачем проводится аудит мобильного приложения

Блог

Аудит мобильного приложения: в каких случаях нужен и как проводится

Разработчикам мобильных приложений часто приходится идти на компромисс между удобством пользователя и защитой от злоумышленников. Для обеспечения безопасности приходится использовать сложные дополнительные пароли и разнообразные подтверждения по e-mail или SMS. Чтобы проверить, достаточно ли принятых мер защиты для обеспечения корпоративной безопасности на этапе разработки приложения проводится его аудит.

Три способа аудита

В процессе аудита специалист действует в роли злоумышленника, пытаясь смоделировать разнообразные возможные угрозы. Это позволяет определить кот, как и с какой целью может попытаться взломать корпоративное мобильное приложение и каких затрат финансов и времени это потребует. Существует три методики такой проверки.

Схема Black box предполагает, что специалист по информационной безопасности будет работать с приложением на правах рядового пользователя. Установочный файл в таком случае скачивается из официальных источников, а сам проверяющий не имеет никакой информации о компании или программном продукте. Этот метод рекомендуется большинством специалистов, так как он наиболее точно воспроизводит реальные условия.

При проверке способом Grey box все происходит примерно так же, только аудитор располагает дополнительными сведениями об устройстве серверов компании и о том, как построено само приложение. Такой подход несколько увеличивает шансы на удачный взлом.

Для того, чтобы предусмотреть все возможные угрозы, следует предположить, что потенциальный злоумышленник будет обладать инсайдерской информацией или им окажется кто-то из бывших сотрудников компании. Проверка, учитывающая такую возможность, проводится по схеме White box. У осуществляющего проверку специалиста имеется полная информация о серверах компании и о процессе создания приложения, а также его исходный код. У такого тестирования есть и отрицательные стороны. Оно требует больше времени и значительных финансовых затрат. Кроме того, приходится доверять коммерческую тайну. Уязвимости, обнаруженные во время такой проверки, могут быть слишком сложны для использования хакерами, и не представлять опасности в реальной жизни.