Корпоративные мобильные приложения набирают популярность

Александр Панасенко 06 Марта 2012 - 06:41

...

Корпорация Symantec объявила результаты исследования State of Mobility 2012 года, подтвердившего наступление переломного момента в вопросе применения мобильных технологий. Проведенный опрос показал рост популярности мобильных приложений в организациях – 71% корпораций как минимум приступили к обсуждению возможности применения специальных мобильных приложений, а одна треть внедряет или уже внедрила подобные сервисы.

Несмотря на такое проникновение технологий, практически половина респондентов (48%) отметили, что внедрение мобильных решений является крайне сложным процессом, а 41% указали, что мобильные устройства составляют один из трех основных источников ИТ-рисков. Учитывая имеющиеся проблемы, департаменты информационных технологий пытаются балансировать между преимуществами мобильных решений и связанными с ними рисками, обеспечивая повышение динамичности бизнеса, производительности труда и эффективности работы.

“Нас впечатлили темпы внедрения мобильных приложений организациями, - сказал СиДжей Десай (CJ Desai), старший вице-президент группы конечных устройств и мобильных решений Symantec. – Это настоящая культурная революция на фоне полного отказа от мобильных устройств, который наблюдался не так давно. Теперь компании активно распространяют и разрабатывают мобильные приложения, и это создает новые сложности для ИТ-персонала. При этом приятно отметить, что в вопросах информационной безопасности большая часть компаний смотрит глубже банальных потерь и краж мобильных телефонов”.

Исследование State of Mobility обнаружило те проблемы, которые возникают в организациях, когда они начинают применять мобильные технологии, а также помог определить и оценить численно риски, относящиеся к мобильности, с позиции ИТ-специалистов. В рамках опроса более 6000 организаций из 43 стран рассказали об изменениях, связанных с использованием мобильных устройств и мобильных приложений.

Мобильные устройства стали критически важными для бизнеса

Значительное расширение сферы применения мобильных приложений стало результатом общего признания организациями прибыльности сферы мобильных технологий. Доверие также поддерживается редким в отрасли соответствием ожиданий и реальности. В основном, ожидания от новых технологий значительно превосходят реальные результаты их применения. Однако для тех смартфонов и планшетов, которые используются сегодня, лишь в 70% случаев ожидался рост производительности труда, и в 77% процентах он действительно произошел после внедрения новых технологий. Более того, 59% респондентов уже используют мобильные устройства для важных бизнес-приложений, что является еще одним признаком перехода мобильности в класс массовых технологий.

Мобильные инициативы значительно виляют на ИТ-ресурсы

Как любые новые веяния, мобильные технологии при внедрении создают проблемы для ИТ компаний. Практически половина (48%) респондентов отметила, что мобильность стала новым вызовом, в то время как две трети опрошенных сообщили о снижении затрат и сложности решения ключевых бизнес-задач. С точки зрения Symantec, увеличение уровня проблем говорит о переходе от маленьких пилотных проектов и тактических внедрений – где политики часто обходят стороной, создавая исключения – к полномасштабным корпоративным проектам, в которых стандартизация политик приводит к усложнению системы. Полученные данные также говорят о том, что многие внедрения еще не используют преимущества уже созданных корпоративных систем и процессов, которые могли бы облегчить нагрузку и затраты в масштабе всей сети, исключая необходимость дублирования ресурсов.

Мобильные риски влияют на организации

Распространение мобильных технологий сопровождается появлением рисков, и ИТ-компании осознают эту проблему. Примерно три из четырех организаций указывают на высокий уровень безопасности, как на ключевую задачу бизнеса в отношении мобильности и 41% считает мобильные устройства одним из трех ключевых источников ИТ-рисков, а также основным риском, который отмечают ИТ-специалисты. Риски в данном случае могут быть различными – потеря и кража устройств, утечка данных, неавторизованный доступ к корпоративным ресурсам, а также передача вредоносного ПО с мобильных устройств на корпоративную сеть. Поскольку мобильные устройства в настоящее время используются для обработки критически важных бизнес-процессов и данных, инциденты информационной безопасности могут стоить очень дорого. Например, средняя годовая стоимость инцидентов, связанных с мобильными устройствами в корпоративной среде, включая утечки данных, урон деловой репутации, потерю производительности труда и доверия клиентов, составила порядка 429 000 долларов США. В сегменте СМБ стоимость мобильных инцидентов ИБ составила около 126 000 долларов США.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: