На конференции Mobile Meetup, прошедшей 10 сентября в Москве, руководитель продукта AppSec.Sting компании AppSec Solutions Юрий Шабалин рассказал, что приложения для iOS на практике оказываются уязвимее, чем их Android-аналоги.
Эксперт развеял популярный миф о «неприступности» закрытой операционной системы Apple.
По его словам, несмотря на строгую модерацию App Store и закрытый код, при сравнении одного и того же приложения на двух платформах именно версия для iOS чаще содержит больше проблем.
«Закрытость системы не означает безопасность. Напротив, свежие таргетированные атаки на iOS-приложения показывают, что нужно строить дополнительный контур защиты внутри самих приложений. Ошибки при разработке и надежда на систему — главные причины проблем», — отметил Шабалин.
По данным исследования AppSec.Sting, в 9 из 10 iOS-приложений встречаются такие уязвимости, как:
- хранение данных в открытом виде в KeyChain;
- отсутствие реакции на изменение биометрических данных;
- обход биометрической аутентификации;
- возможность бесконечного перебора PIN-кода.
Отдельно эксперт обратил внимание на уязвимости в кроссплатформенном фреймворке Flutter, который часто используют для iOS-разработки. Среди основных рисков — компрометация хранилищ с паролями, токенами и ключами, а также возможность пользователем вручную включить доверие к поддельному сертификату, что открывает новые лазейки для атак.
