Безопасность на рынке приложений для мобильных устройств
Появление мобильных приложений кардинально изменило подход к работе,
использованию игр и общению для миллионов людей во всем мире. Любые
приложения, которые только можно себе представить, — начиная от игр, карт,
фильмов и телевизионных программ и заканчивая приложениями, которые
превращают устройство в фонарик, — теперь можно загрузить непосредственно на
свой смартфон или другое мобильное устройство.
И хотя рынок мобильных приложений еще очень молод, он стремительно растет
на протяжении последних нескольких лет и продолжает быстро расширяться.
Этот стремительный рост, подталкиваемый миллионами пользователей личных
и корпоративных устройств, ожидающих выхода новых интересных приложений,
предоставляет великолепную возможность для разработчиков программного
обеспечения, которые могут создать очередное популярное приложение для
повышения эффективности работы или развлечения — и заработать на нем.
Однако разработчики не единственные, кто стремится выиграть за счет
ажиотажа на рынке мобильных приложений — киберпреступники хотят заразить
и взломать как можно больше мобильных устройств и украсть хранящуюся на
них конфиденциальную информацию. Зараженные мобильные приложения
представляют угрозу не только для пользователей мобильных устройств, но и для
поставщиков платформ и услуг связи, производителей устройств и репутации всей
отрасли.
К счастью, разработчики могут обезопасить свой код и своих клиентов с
помощью простой и эффективной технологии: сертификатов подписания кода.
Ниже рассматриваются причины роста интереса к мобильным
приложениям и значение сертификатов подписания кода для защиты всей
экосистемы мобильных приложений.
Рождение новой индустрии: истоки рынка мобильных приложений
Приложения для мобильных устройств существуют уже на протяжении многих лет,
однако ряд аналитиков называют в качестве даты рождения рынка мобильных
приложений 11 июля 2008 года — день, когда компания Apple запустила iPhone App
Store. Только за первые 18 месяцев работы App Store клиенты Apple загрузили более
трех миллиардов приложений, что сделало его крупнейшим магазином приложений в мире.
Но хотя компания Apple и была провозглашена первопроходцем на рынке
мобильных приложений, пользователи мобильных устройств загружали мобильные
приложения из интернет-магазинов задолго до ее выхода на этот рынок. Кроме того,
у пользователей мобильных устройств была возможность загружать приложения
из многочисленных источников помимо магазинов, в том числе с популярных веб-
сайтов, таких как Download.com, и непосредственно у разработчиков приложений.
В дополнение к этому некоторые сотовые операторы попробовали прощупать почву,
запустив собственные сайты с мобильными приложениями.
И хотя App Store компании Apple был не первым магазином, предложившим
мобильные приложения, он первым доказал, что клиенты валом повалят за
мобильными приложениями и интегрированным в интерфейс устройства
электронным магазином при условии, что их будет легко загружать,
устанавливать и использовать. Понизив технические и финансовые проходные
барьеры, инновационный электронный магазин Apple смог привлечь сотни тысяч
увлеченных разработчиков мобильных приложений. Эти изменения полностью
перевернули рынок мобильных приложений. С тех пор поставщики платформ и
услуг связи, а также некоторые производители устройств, предлагают комплекты
инструментов для разработки программ, позволяющие поставщикам программного
обеспечения создавать передовые приложения. Разработчики, сотрудничающие
с электронными магазинами, получают маркетинговую поддержку и доступ к
миллионам жаждущих клиентов, готовых заплатить за очередное «убойное» приложение.
Тот факт, что мобильные приложения стали прибыльным бизнесом, дает больше
возможностей разработчикам, обеспечивает непрерывный поток новых приложений
для клиентов и создает ожесточенную конкуренцию среди производителей
устройств, поставщиков услуг связи и разработчиков платформ, каждый из которых
стремится «урвать» свой кусок рынка мобильных приложений
Рынок мобильных приложений стремительно растет — как и угрозы безопасности
С момента открытия App Store многие компании стали участниками рынка, открыв
свои электронные магазины приложений, самым заметным из которых является
Android Market компании Google.
Разработчики могут не только продавать приложения через электронные
магазины, но и сотрудничать с поставщиками услуг связи и производителями
устройств, порталы которых обычно не содержат специализированных электронных
магазинов, с целью создания приложений для различных операционных систем и
устройств. Например, компания AT&T представила мощную программу поддержки
разработчиков, благодаря которой разработчики приложений получают доступ к
80 миллионам клиентов AT&T, а компания LG разработала собственный магазин
Applications Store для продажи приложений, совместимых с устройствами LG,
которые продаются под различными марками.
И хотя электронные магазины сейчас больше всего на слуху, пользователи
попрежнему могут загружать приложения с целого ряда независимых веб-сайтов.
На практике наибольшее число загрузок во всем мире и наибольшая прибыль
от них приходится как раз на источники, отличные от магазинов. По мере роста
популярности электронных магазинов число загрузок с других веб-сайтов будет
сокращаться, однако они по-прежнему останутся важным каналом дистрибуции.
Имея возможность выбирать среди десятков тысяч приложений, клиенты тратят на
приложения миллиарды долларов в год. Ожидается, что к 2014 году объем продаж
мобильных приложений вырастет до 25,5 миллиардов долларов. В перспективе
этот бизнес станет прибыльнее, чем профессиональный футбол, бейсбол, баскетбол
и хоккей в США — причем вместе взятые.
Для пользователей мобильных устройств приложения находятся на расстоянии
одного нажатия или касания пальцем. К сожалению, чем больше количество
загрузок приложений и программ, тем выше вероятность проникновения
вредоносного кода. На деле опасные приложения уже проникают в электронные
магазины: в январе 2010 года два кредитных союза обнаружили «банковское»
приложение в магазине Android Market компании Google, которое обманом
вынуждало клиентов отправлять конфиденциальные финансовые сведения
киберпреступникам. Компания Google срочно удалила приложение — и еще 50
других приложений, написанных тем же злоумышленником
Мобильные приложения для всех и каждого
Быстрый рост количества загрузок приложений продолжит подпитывать активное
развитие рынка мобильных приложений. Насколько крутым будет взлет? Ожидается,
что к 2014 году число загрузок приложений составит 19,5 миллиардов. В среднем
это составляет чуть менее трех приложений на каждого жителя планеты.
По мере увеличения популярности мобильных приложений будет быстро расти
число атак на мобильные устройства. Одна из причин, по которой вредоносные
приложения столь опасны, заключается в том, что их очень тяжело обнаружить.
Вредоносные мобильные приложения можно легко создать из компонентов,
входящих в состав стандартных комплектов инструментов разработчиков, и многие
из этих приложений раскрывают информацию — такую как местонахождение
и список контактов — доступ к которой пользователи обычно разрешают,
если считают приложение безопасным. Даже если пользователь не уверен в
безопасности приложения, он может невнимательно прочитать примечание о
предоставляемых правах доступа или разрешить доступ по привычке. Для того
чтобы предоставить приложению доступ к конфиденциальной информации,
достаточно одного касания.
Даже если пользователь запрещает приложениям определять его местонахождение
или использовать другую личную информацию, многие из них все равно собирают
такую информацию. Как показывают результаты исследования App Genome Project,
почти треть мобильных приложений отслеживают местонахождение пользователя,
а около 10 процентов пытаются получить доступ к списку адресов и контактов.
Мобильные приложения, разработанные для сбора личной информации, являются
идеальной целью для атаки. Если подобные мобильные приложения ничем не
защищены, злоумышленнику достаточно изменить всего несколько строк кода,
чтобы превратить их в опасную программу для кражи информации. Вместо того
чтобы создавать вредоносную программу «с нуля», злоумышленнику достаточно
взломать существующее приложение — и вычислить вредоносную программу
становится еще сложнее.
Несмотря на растущий уровень информированности и тот факт, что пользователи
стали более осторожны и внимательны, стараясь не допустить заражение, проблема
вредоносного кода по-прежнему существует. Учитывая эти тенденции, обеспечение
безопасности мобильных приложений имеет первоочередное значение для
защиты клиентов, своих продуктов, репутации своей компании и всей экосистемы
мобильных приложений.
Безопасность — залог успеха приложения
Разработчики мобильных приложений должны заботиться не только об удобном
интерфейсе, качестве и внешней привлекательности игры, но и о том, как безопасно
предоставить свои приложения клиентам. Хотя большинство вредоносных программ
являются скорее досадной неприятностью, чем реальной угрозой, заражение любой
вредоносной программой потенциально представляет большую опасность. Если
пользователи будут чрезмерно опасаться загружать приложения, то это
не только нанесет вред репутации разработчика или поставщика услуг связи, но и
приведет к оттоку денег, поскольку пользователи переключатся на те мобильные
приложения, сети и устройства, которые с их точки зрения являются безопасными.
Осознавая эту опасность, многие электронные магазины приложений и веб-
сайты разработали протоколы защиты с обязательным использованием
цифровой подписи для идентификации разработчика программы. В то же
время, для некоторых магазинов достаточно самоподписанного сертификата,
не подтверждающего личность разработчика, что подвергает сами электронные
магазины — и их клиентов — опасности заражения вредоносными приложениями.
И хотя большинство магазинов приложений и веб-сайтов соответствуют
определенным стандартам безопасности, зачастую они являются недостаточно
строгими. Сертификаты подписания кода, предоставленные доверенным
независимым поставщиком, обеспечивают безопасное распространение
приложений и формируют уверенность в том, что приложения безопасны для
загрузки.
Насколько в действительности безопасны самоподписанные сертификаты?
Несмотря на их популярность, самоподписанные сертификаты — это не лучший
выбор для разработчиков. Хотя самоподписанные сертификаты подтверждают, что
код получен от определенного издателя и не был изменен, они не могут служить
доказательством надежности издателя. Другими словами, самоподписанный
сертификат может создать кто угодно, в том числе киберпреступник.
Сотрудничество с надежной независимой компанией позволяет гарантировать
безопасность кода, подтвердить подлинность своей компании и предотвратить
деятельность киберпреступников под видом официальных разработчиков
программного обеспечения.
Сертификаты подписания кода как средство борьбы с угрозами безопасности мобильных приложений
Несмотря на то что производители мобильных устройств, поставщики
платформ и сетевых услуг и разработчики мобильных приложений преследуют
разные цели, они тесно связаны в том, что касается сохранения процветания рынка
мобильных приложений. С учетом общих рисков, угрожающих их прибыльности и
репутации, каждый из этих ключевых игроков сильно заинтересован в обеспечении
безопасности и целостности всей среды мобильных приложений. Сертификаты
подписания кода, в особенности те, которые предоставляются доверенным
независимым поставщиком, являются ключевым элементом защиты мобильных
приложений и технологий, которые используются для их поддержки.
Преимущества сертификатов подписания кода для разработчиков очевидны.
Многие электронные магазины и поставщики услуг связи разрешают приложению
доступ к функциям телефона только при наличии цифровой подписи, а
сертификаты подписания кода не только гарантируют, что код не изменялся
с момента его подписания, но и позволяют продемонстрировать клиентам и
деловым партнерам, что вы являетесь официальным, надежным разработчиком
программного обеспечения.
Поставщики услуг связи сталкиваются с другой проблемой. Из-за сокращения
прибыли от услуг телефонной связи поставщикам требуется привлекать все
больше подписчиков и продавать дополнительные услуги связи. Для того чтобы
новая бизнес-модель с ориентацией на услуги была успешной, поставщики услуг
связи используют мобильные приложения, сотрудничая с разработчиками для
создания приложений, подходящих для любых устройств и платформ (как в AT&T),
либо поддерживая мобильные устройства, для которых уже созданы популярные
приложения. Благодаря тому, что сертификаты подписания кода обеспечивают
целостность кода приложений и предоставляют механизм для контроля за
приложениями, которые разворачиваются внутри сети, они позволяют поставщикам
услуг связи защитить свои сети от проникновения вредоносных программ.
Как работает сертификат для подписание кода
Сертификаты подписания кода, выданные независимым поставщиком, позволяют
аутентифицировать издателя и целостность каждого фрагмента подписанного кода.
В целом этот процесс выглядит следующим образом:
Центр сертификации проверяет подлинность компании-разработчика и наличие
у нее официальных оснований для публикации материалов или программного обеспечения.
После этого сертификатная компания выдает разработчику специальный ID,
который позволяет аутентифицировать разработчика подписанного кода.
Разработчик использует свой ID разработчика для подписания файлов
приложения, которые отправляются в центр сертификации.
«Повторно подписанные», или аутентифицированные материалы готовы к
безопасному распространению.
Производители устройств находятся между двух огней: им необходимо сохранить
привлекательность для разработчиков, и при этом учитывать требования
поставщиков услуг связи. Для того чтобы быть привлекательными для покупателей,
мобильные устройства должны предлагать те приложения, которые необходимы
пользователям. Предлагаемые производителями устройства с поддержкой
приложений должны быть одобрены поставщиками услуг связи, выдвигающими
различные требования к безопасности. Сертификаты подписания кода
обеспечивают целостность приложений на мобильных устройствах в сетях любых
сотовых операторов.
Поставщики платформы также заботятся о целостности приложений в своих
сетях, однако по другим причинам. Такие поставщики предоставляют свои
платформы производителям устройств по лицензии, поэтому чем больше лицензий
продается, тем лучше идут дела у поставщика. В свою очередь, производители
устройств, работающих на этих платформах, стремятся к тому, чтобы их устройства
применялись в как можно большем количестве сетей. Для защиты конечных
пользователей, а также репутации всех участников этой цепочки, поставщикам
платформ важно обеспечить безопасность за счет тестирования и подписания кода.
На всех этапах, начиная от разработки кода и заканчивая его загрузкой на
мобильное устройство пользователя, сертификаты подписания кода эффективно
обеспечивают защиту всей экосистемы мобильных приложений, оберегая как
конечных пользователей, так и целые компании.
Хоты мобильные приложения существуют уже более десятка лет, они приобрели
массовую популярность только с появлением новых передовых устройств и удобных
электронных магазинов, которые существенно подняли планку требований.
Разработчики, поставщики платформ и услуг связи и производители устройств
объединили усилия для создания процветающего — и чрезвычайно прибыльного —
рынка мобильных приложений.
К сожалению, киберпреступники также стремятся заработать на стремительном
росте популярности мобильных приложений. Они уже активно
работают над созданием вредоносных программ, предназначенных для кражи
информации пользователей и нанесения серьезного ущерба глобальной экосистеме приложений.
Однако существует сравнительно простое, но крайне эффективное решение
для защиты мобильных приложений. Используя сертификаты подписания
кода, выданные таким доверенным независимым поставщиком, как DigiCert,
разработчики могут обезопасить свой код и подтвердить подлинность своей
компании. По тому же принципу поставщики платформ и услуг связи и
производители устройств могут потребовать наличия сертификатов подписания
кода в своих протоколах безопасности, чтобы обеспечить защиту всей среды
мобильных приложений. Уверенность пользователей в безопасности мобильных
приложений приводит к увеличению числа загрузок, а в конечном итоге — к
увеличению объема продаж и прибыли разработчиков и компаний, которые
занимаются продажей приложений и обеспечивают их связь.
Сделав сертификаты подписания кода неотъемлемой частью процесса разработки
приложений, компании наряду со своими клиентами смогут наслаждаться всеми
преимуществами неожиданно бурного роста на рынке мобильных приложений.
Топ-7 рисков корпоративной мобильности
В то время как мобильность на предприятии способствует инновациям и гибкости, он также вводит ряд
тревожных рисков безопасности, которые представляют возможности доступа к дверям для киберпреступников.
Хорошей новостью является то, что предприятия могут защищать корпоративные данные.
Понимая каждую из областей риска и применяя многоуровневый подход к защите, вы можете защитить свой бизнес.
К семи основным рискам мобильности предприятий относятся:
Гетерогенная среда
В отличие от традиционных конечных точек, мобильные устройства представляют собой пеструю коллекцию
приборов и операционных систем. Хуже того, сотрудники часто используют несколько устройств, которые могут
или не могут принадлежать компании. Фактически, согласно Forrester, 53 процента информационных работников
теперь используют три или более устройства для работы, а 95 процентов организаций допускают использование
принадлежащих сотрудникам устройств в той или иной форме. Ключевыми мерами безопасности для решения
этих проблем являются применение согласованных политик в мобильных операционных системах и разделение
личных и корпоративных данных.
В любое время, Anywhere Connectivity
Поскольку они являются гиперсвязанными, мобильные устройства часто получают доступ к незащищенным сетям,
что увеличивает риск потери данных. 71% всех мобильных коммуникаций теперь перетекают через Wi-Fi,
а 90 процентов общедоступных точек доступа Wi-Fi имеют недостаточную безопасность - зловещие на самом деле.
Чтобы противостоять этим рискам, обеспечьте возможность подключения через доступ к сети на основе
сертификатов и используйте VPN для каждого приложения, которые шифруют данные в пути.
Кроме того, вы захотите развернуть прокси приложений и электронной почты, которые блокируют
несанкционированные или несовместимые устройства и приложения.
Потеря и кража
Маленькие и портативные устройства уязвимы для потери и кражи. Было обнаружено, что в 2013 году было похищено
3,1 миллиона смартфонов, что почти в два раза больше, чем в 2012 году. Кроме того, было обнаружено, что восемь
из десяти искателей потерянных устройств пытались получить доступ к корпоративной информации на устройстве.
Чтобы защитить утерянные или украденные устройства, применяйте политики паролей для устройств и приложений
с использованием многофакторной аутентификации. Обеспечьте беспрепятственный доступ к корпоративным
приложениям и ресурсам с помощью сертификатов и единого входа. Шифруйте корпоративные приложения и данные,
чтобы они были защищены, даже если устройство было скомпрометировано. Наконец, используйте полную или
выборочное стирание информации в устройстве.
Компромиссные устройства
Пользователи могут вмешиваться (джейлбрейк или root) в операционную систему устройства, чтобы получать
повышенные привилегии и устанавливать вредоносные приложения из неавторизованных магазинов приложений.
По данным Forbes, 18 миллионов устройств iOS были взломаны в течение шести недель после того, как были
доступны средства для джейлбрейка, а 24% мобильных телефонов в настоящее время в корпоративных сетях
взломаны. Чтобы противостоять этой угрозе, вы должны постоянно контролировать соответствие устройств,
а также выявлять и блокировать доступ к компрометационным устройствам для доступа к корпоративным
сетям и приложениям.
Утечки данных
ИТ-специалисты с большим количеством сотрудников, полагающихся на мобильные приложения для работы и
личного использования, испытывают тревогу. Огромные 87 процентов особенно обеспокоены утечкой данных
на мобильные устройства, в то время как 46 процентов руководителей ИТ уверены, что неуправляемый обмен
файлами вызывает утечку данных. Чтобы устранить эти риски, реализуйте мобильные DLP-политики, такие как
блокирование действий копирования и вставки. Управляйте элементами управления «открыто» в целях
предотвращения доступа к содержимому с помощью несанкционированных приложений и контролируйте,
можно ли хранить данные локально или на карте Micro-SD.
Принесите свои собственные приложения
Сотрудники полагаются на личные приложения, такие как синхронизация файлов и инструменты совместного
использования, в целях работы, увеличивая риск потери данных и потенциальных нарушений.
25 процентов сотрудников теперь приносят свои мобильные приложения на рабочее место,
чтобы заполнить предполагаемый пробел в приложениях, которые не предоставляются их работодателями,
и 75 процентов этих приложений, как ожидается, не проведут базовые тесты безопасности до 2015 года.
Чтобы защитить ваш бизнес от этих рискованных приложений, начиная с предоставления кураторского
магазина приложений для предприятий, который обеспечивает легкий доступ к утвержденным внутренним
и сторонним приложениям. Кроме того, развертывание и управление пользовательскими приложениями
зависит от роли, а также внедрение политик безопасности на уровне приложений для DLP, шифрования и
аутентификации.
Вредоносные и рискованные приложения
Приложения - это весело, полезно - и самая слабая точка входа для определенных кибер-преступников.
Слишком часто они устанавливаются пользователями, которые мало или вообще не думают об опасностях,
которые они могут представлять. По данным Norton Mobile Insight, по состоянию на октябрь 2014 года было
три миллиона вредоносных приложений - и восемь миллионов приложений с рискованным поведением
- распространялись. Эти рискованное поведение включали кражу информации (19%), отслеживание
пользователя (22%), постановку традиционных угроз (26%), отправку контента (13%) и перенастройку
устройства (13%). Чтобы защитить эти результаты и обеспечить защиту устройств, внедрите централизованно
управляемую защиту от угроз для мобильных устройств, которая может активно обнаруживать и блокировать
мобильные угрозы, такие как вредоносное ПО и рискованные приложения. ИТ-приложения могут использовать
приложения белого или черного списка на основе поведения приложений и предотвращать доступ к
корпоративным приложениям и службам, если обнаружено вредоносное ПО.