Современный бизнес всё чаще сталкивается с необходимостью защищать свои мобильные приложения от широкого спектра атак. Ведущие эксперты индустрии поделились своим видением ключевых угроз, типичных ошибок разработчиков и эффективных стратегий защиты.
- 1. Введение
- 2. Какие риски для компании несут атаки на мобильные приложения?
- 3. Самые частые ошибки в защите мобильных приложений
- 4. Какие требования безопасности обязательны для релиза?
- 5. Прогнозы: как изменятся угрозы для мобильных приложений в ближайшие 2–3 года?
- 6. Выводы
Введение
Мобильные приложения давно перестали быть просто удобным дополнением к веб-сайтам — сегодня это полноценная цифровая среда, где хранятся финансы пользователей, личные данные, коммерческая тайна и критически важная бизнес-логика. Однако именно эта популярность делает мобильные приложения одной из главных целей для злоумышленников. Атаки становятся дешевле, инструменты реверс-инжиниринга — доступнее, а с развитием генеративного ИИ порог входа для хакера снизился до минимума.
Что делать бизнесу? Как выстроить эффективную защиту, если клиент полностью контролирует среду исполнения, а разработчики массово переходят на кроссплатформенные фреймворки и используют сторонние SDK? Эксперты отрасли обсудили современные угрозы и назвали самые частые ошибки в защите мобильных приложений.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
- Дмитрий Бабчук, руководитель направления информационной безопасности и ИТ-инфраструктуры, Flowwow.
- Александр Савин, руководитель службы информационной безопасности, CDEK.
- Виталий Панасенко, руководитель разработки продуктов, CodeScoring.
- Николай Анисеня, руководитель разработки PT MAZE, Positive Technologies.
- Глеб Габитов, руководитель группы по подготовке технических решений, Servicepipe.
Ведущий и модератор эфира — Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ.
Какие риски для компании несут атаки на мобильные приложения?
Обеспечение безопасности мобильных приложений требует учёта сразу нескольких векторов угроз — как со стороны конечного пользователя, так и со стороны бизнеса. Как отмечает Виталий Панасенко, риски для компаний здесь велики и многогранны: это финансовые и репутационные потери, а также инфраструктурные риски, которые могут быть реализованы через определённые функции приложения. Отдельную проблему создаёт использование стороннего ПО — если оно скомпрометировано, угроза автоматически распространяется и на само приложение.
Александр Савин обращает внимание на изменение самого ландшафта разработки. Сегодня наблюдается стремление к созданию единых платформ под мобильные устройства. На смену сугубо нативным приложениям под Android и iOS приходят кроссплатформенные решения вроде React Native и Flutter. Если в компании продолжает развиваться функциональность нативного приложения, критически важно иметь отдельную команду и расширять направление AppSec именно в сторону мобильной безопасности.
Александр Савин, руководитель службы информационной безопасности, CDEK
По мнению Глеба Габитова, главный риск кроется в том, что при атаке на мобильные API клиент полностью контролирует среду исполнения. Если злоумышленник может убедить бэкенд в легитимности клиента, он получает доступ к API-ручкам и может эксплуатировать бизнес-логику.
Бороться с этим позволяют подписи от мобильного приложения, которыми подписываются запросы на бэкенд. Ключевой нюанс заключается в том, чтобы создавать такие подписи, которые опираются на сложноподделываемые данные, меняются между релизами и не могут быть за короткое время извлечены злоумышленником при реверс-инжиниринге. Именно для реализации такого подхода может использоваться специализированное SDK.
Как ИИ изменил ландшафт угроз?
Особую остроту дискуссии о защите мобильных приложений сегодня придаёт стремительное развитие искусственного интеллекта. Как предупреждает Николай Анисеня, индустрия находится в большой опасности: нейронные сети значительно прокачались в способности взламывать код и реализовывать различные риски.
Это стало серьёзным вызовом, особенно для разработчиков систем защиты мобильных приложений. В ответ на эту угрозу команда Николая уже разрабатывает собственного ИИ-агента, задача которого — постоянно ломать их же защиту и с каждым релизом предлагать конкретные улучшения.
Эксперт подчёркивает:
«Это будущее. Кто сможет противостоять нейронкам, тот сможет защитить приложение».
Николай Анисеня, руководитель разработки PT MAZE, Positive Technologies
Глеб Габитов дополняет эту мысль с экономической и технологической стороны. Атаковать мобильное приложение стало значительно дешевле и проще благодаря возможности использовать опенсорсные утилиты для извлечения путей, артефактов и автоматизированной декомпиляции. Сами по себе эти инструменты существовали и раньше, но сейчас, с подключением нейросетей, можно полностью автоматизировать весь процесс работы с ними.
В ответ будет появляться всё больше средств защиты, использующих ИИ. Однако на данный момент, констатирует он, мобильные приложения активно подделываются, а злоумышленники пытаются обходить существующую защиту именно с помощью искусственного интеллекта.
В первом опросе зрители ответили, какую угрозу для мобильных приложений они считают самой опасной для бизнеса:
- Кража токенов и чувствительных данных — 32 %.
- Атаки на API мобильного приложения — 28 %.
- Захват учётных записей и сессий — 18 %.
- Реверс-инжиниринг и модификация приложения — 11 %.
- Мобильный фрод и злоупотребление бизнес-логикой — 7 %.
- Вредоносные SDK и сторонние зависимости — 4 %.
Рисунок 2. Какую угрозу для мобильных приложений вы считаете самой опасной для бизнеса?
Самые частые ошибки в защите мобильных приложений
Эксперты единодушны в том, какие именно проблемы встречаются в мобильных приложениях чаще всего. Дмитрий Бабчук отмечает, что лидирует IDOR (Insecure Direct Object References — небезопасные прямые ссылки на объекты), причём в последнее время количество таких уязвимостей только растёт. Это напрямую связано с распространением искусственного интеллекта: нейросети не всегда способны выстроить корректную логику контроля доступа, что и приводит к появлению существенных ошибок.
Александр Савин перечислил другие классические проблемы, которые никуда не ушли: забытые тестовые учётные данные, включённое по умолчанию логирование всего подряд, а также ситуацию, когда при аутентификации через Face ID не проверяется callback от операционной системы — то есть отсутствует проверка, что вернулся именно тот объект.
Виталий Панасенко обращает внимание на тренд, связанный с внедрением сторонних SDK. Команды всё чаще встраивают в свои продукты готовые решения, которые могут быть скомпрометированы: туда подгружается вредоносный пакет, и в итоге уязвимость оказывается уже на устройстве пользователя. Кроме того, при написании самих SDK разработчики могут использовать ИИ, который сам способен генерировать уязвимости.
Виталий Панасенко, руководитель разработки продуктов, CodeScoring
Николай Анисеня подтверждает, что IDOR в мобильных приложениях встречается даже чаще, чем в вебе, и особенно опасно сочетание этой уязвимости с утечкой идентификаторов. Что касается клиентской части, то здесь эксперт констатирует полное игнорирование защиты кода. В зоне риска — межпроцессное взаимодействие, диплинки, забытые ключи, URL и тестовые домены.
Глеб Габитов резюмирует, что главную угрозу представляет всё, что относится к сломанной логике контроля доступа: забытые пути, тестовые артефакты, оставшиеся от стейджинга (финального этапа тестирования ПО), а также данные, которые можно увидеть в логах различных мобильных приложений. Если злоумышленник начнёт перебирать стандартные URL-пути с помощью простых словарей, у бэкендов многих мобильных приложений он сможет найти забытые тестовые эндпоинты или служебные разделы. Это распространённая проблема, хотя и не всегда критичная.
Во втором опросе выяснилось, какая, по мнению зрителей, самая критичная ошибка в защите мобильных приложений:
- Игнорирование практик безопасной разработки — 48 %.
- Отсутствие регулярных обновлений и патчей ПО — 23 %.
- Нет проверок заимствованного кода — 14 %.
- Нет базовых средств защиты (WAF / API Gateway, rate limiting) — 9 %.
- Слабая аутентификация и управление сессиями — 6 %.
Рисунок 3. Какая самая критичная ошибка в защите мобильных приложений?
Какие требования безопасности обязательны для релиза?
Эксперты сходятся во мнении, что безопасность — это не единичное действие, а комплексный процесс на всех этапах жизненного цикла приложения.
Дмитрий Бабчук делится опытом своей компании, где внедрили технологию ADR (Architecture Decision Record). Это документ, в котором кратко фиксируется, какая новая функция будет разработана, описываются возможные варианты решений и обосновывается выбор того или иного подхода.
На основании ADR специалисты по безопасности сначала пишут требования к информационной безопасности. Затем разработчики реализуют эти требования, и перед самым релизом необходимо проверить их исполнение, а также провести пентест. Появился новый инструмент, способный проверять код на безопасность с помощью ИИ, однако ручная проверка квалифицированным ИБ-специалистом по-прежнему необходима.
Дмитрий Бабчук, руководитель направления информационной безопасности и ИТ-инфраструктуры, Flowwow
Николай Анисеня добавил, что все меры безопасности важны, но на разных этапах зрелости компании — разные приоритеты. Тем, кто только начинает свой путь, есть смысл стартовать с недорогих и эффективных средств (например, WAF и протекторов). А уже на следующем этапе — брать в штат специалистов AppSec, выстраивать SSDLC (Secure Software Development Lifecycle — безопасный жизненный цикл разработки ПО), налаживать внутренние процессы, подключать сканеры уязвимостей, программы bug bounty и полноценные пентесты.
Виталий Панасенко напомнил фундаментальную истину: трудно защищать то, чего не знаешь. Поэтому ключевой мерой он называет обнаружение и инвентаризацию всех используемых пакетов и API-эндпоинтов. Учёт и поддержание этой информации в актуальном состоянии — это первая и обязательная ступень, которая сама по себе даст серьёзное улучшение уровня безопасности в дальнейшем.
В третьем опросе зрители поделились, какие инструменты для защиты мобильных приложений они используют (мультивыбор):
- WAF / API Protection для защиты серверной части и API — 53 %.
- SAST / SCA / анализ кода и зависимостей — 34 %.
- DAST / MAST / тестирование мобильного приложения — 21 %.
- Антифрод и анализ аномального поведения пользователей — 18 %.
- АApp Shielding / защита от реверса и модификации приложения — 16 %.
- MDM / MAM для управления устройствами и приложениями — 13 %.
- Пока ничего из перечисленного — 12 %.
Рисунок 4. Какие инструменты для защиты мобильных приложений вы используете?
Прогнозы: как изменятся угрозы для мобильных приложений в ближайшие 2–3 года?
Глеб Габитов: «Генеративный искусственный интеллект развивается быстро. Как инструмент он останется с нами сейчас и в будущем. Надо ожидать, что атаки сильно удешевятся, так как порог входа для реверс-инжиниринга, перебора уязвимостей и проведения атак значительно снижается.
Бизнесу стоит ждать не появления сложных и новых атак, а увеличения массовости атак простого и среднего уровня сложности. ИИ хорош тем, что имеет большое количество семплов, и повторять атаки станет намного проще. Это главное, к чему стоит готовиться. Инструменты защиты и проработку потенциальных рисков тоже следует выстраивать с помощью ИИ-агентов».
Глеб Габитов, руководитель группы по подготовке технических решений, Servicepipe
Дмитрий Бабчук: «Вызов будет существенный и болезненный. Стоимость атаки сокращается. Есть пул задач, которые можно заменить с помощью ИИ. Например, пентест, скорее всего, перестанет быть таким востребованным либо будет стоить намного дешевле, чем сейчас».
Александр Савин: «Будут оптимизироваться расходы, сокращаться бюджеты, все пойдут в сторону унифицированных фреймворков по работе с приложениями. Мы движемся к ситуации, когда есть 2–3 фреймворка и они постепенно будут интегрироваться с фронтендом.
Команда, которая разрабатывает фронт, сможет разрабатывать и мобильное приложение. Нативные приложения под операционные системы останутся только у больших компаний, которые могут себе это позволить. Компетенции AppSec-специалистов, которые занимаются вебом, станут ещё более востребованными».
Николай Анисеня: «С учётом дефицита кадров в мобильной безопасности этот дефицит сильно компенсируется с помощью нейросетей».
Вадим Шелест: «Ограничения в моделях существуют, но с каждой новой итерацией флагманских моделей они сокращаются. Но хочется верить, что машины нас не заменят по простой причине: кто-то должен нести ответственность за неудачи. Это тот человек, который разрешил модели принять то или иное решение».
Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ
Какие шаги дадут максимальный эффект в защите мобильных приложений?
Глеб Габитов: «Первым делом нужно сделать инвентаризацию рисков: понять, как работает приложение, какие в нём интерфейсы и как с ними взаимодействовать. Если это высокорисковые операции, связанные с деньгами, стоит подумать о WAF и других мерах защиты. Второй шаг — проверить, что уже есть: какие меры безопасности внедрены, кто за них отвечает, кто держит риски. Всё это выписать, зафиксировать и только потом решать, что покупать и зачем».
Николай Анисеня: «Первое — закрываем бэкенд с помощью WAF, фронт закрываем шилдингом. Второе — берём специалиста AppSec, который займётся SSDLC».
Виталий Панасенко: «Нужна инвентаризация приложения: понять, из каких компонентов оно состоит, какие эндпоинты использует, определить весь стек. Затем проверить риски, связанные с опенсорсом, посмотреть, есть ли там уязвимости и как они развиваются. Параллельно стоит развивать внутренние компетенции по безопасной разработке: проектирование, SSDLC, работа с инструментами и ИИ».
Александр Савин: «Важно выстроить процесс работы с секретами и регулярно искать те из них, которые разработчики случайно оставляют в коде. Также стоит обратить внимание на аттестацию приложения — необходимо проверять, что в сборке файлов и в самом приложении не произошло никаких несанкционированных изменений».
Дмитрий Бабчук: «Любой бизнес не понимает риски ИБ, пока сам с ними не столкнётся. Поэтому риски нужно наглядно демонстрировать. Лучший способ — провести независимый пентест всей инфраструктуры, показать проблемы и объяснить, к чему они могут привести».
Финальный опрос показал, планируют ли зрители усиливать защиту мобильных приложений после эфира:
- Планируют усиливать текущие решения — 51 %.
- Планируют запуск нового проекта — 23 %.
- Достаточно текущей защиты — 14 %.
- Возможно, но пока это не приоритет — 12 %.
Рисунок 5. Планируете ли вы усиливать защиту мобильных приложений после эфира?
Выводы
Развитие генеративного ИИ кардинально изменило ландшафт угроз для мобильных приложений. Атаковать стало значительно дешевле и проще: порог входа для реверс-инжиниринга и автоматизации снизился, а массовость атак простого и среднего уровня сложности будет только расти. При этом бизнесу стоит ждать не появления принципиально новых векторов атак, а многократного увеличения количества уже известных уязвимостей, которые теперь можно воспроизводить тысячами с помощью нейросетей.
Наиболее частыми проблемами в мобильных приложениях остаются IDOR, забытые тестовые креды, незащищённые диплинки, утечки идентификаторов и полное игнорирование защиты клиентского кода. Отдельную зону риска создают сторонние SDK и зависимости, особенно если они генерируются или дорабатываются с помощью ИИ, который сам способен привносить уязвимости.
Защита не может быть единичным действием — это комплексный процесс. На начальном этапе зрелости компании достаточно недорогих и эффективных средств вроде WAF и шилдинга. По мере роста необходимо выстраивать SSDLC, внедрять инвентаризацию компонентов и эндпоинтов, развивать внутренние компетенции по безопасной разработке. Ключевая мера, с которой стоит начинать, — полная инвентаризация рисков, интерфейсов и используемых пакетов, потому что защищать то, чего не знаешь, невозможно.
Несмотря на все риски и дефицит кадров в мобильной безопасности, эксперты сходятся в главном: нейросети — это не приговор, а инструмент. И те, кто сможет использовать его для защиты, получат решающее преимущество. Однако полностью полагаться на машины нельзя — за любые решения, принятые моделью, в конечном счёте должен отвечать человек.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
