Что же такое Firebase?
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
Firebase — это платформа, разработанная Google, которая предлагает набор инструментов для создания мобильных приложений на iOS, Android, Web, Flutter, Unity и C++. Она позволяет разработчикам быстро создавать и развертывать приложения, используя облачные ресурсы, а также предоставляет решения для анализа и оптимизации работы программ.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
🔥2
Топ-5 интересных находок при сканировании мобильных приложений в 2024 году! 📱
1️⃣ Приложения на Flutter
За год мы проанализировали множество приложений, разработанных с использованием фреймворка Flutter. Наша статистика показывает, что 9 из 10 таких приложений имеют хотя бы одну из трех уязвимостей, связанных с локальной аутентификацией:
- Неограниченное количество попыток ввода пин-кода (что ведет к возможности полного перебора).
- Отсутствие реакции на изменения биометрических данных.
- Возможность обхода биометрической аутентификации.
2️⃣ Использование сторонних сервисов
Мы заметили, что многие разработчики неправильно интегрируют сторонние сервисы и ключи доступа. 🔑 Часто во время аудита не проверяют, как именно подключены сторонние сервисы и как хранятся ключи. Самым запоминающимся, был открытый сервис Firebase Remote Config, внутри которого были все ключи доступа ко всем остальным интеграциям в приложении, включая релизные и разработческие сервисы. То есть, как только эти ключи туда попали, их можно считать скомпрометированными и ненадежными. Поскольку это было финансовое приложение, интеграции также были с платежными системами.
3️⃣ Уязвимость в Android Jetpack Navigation Library
Одной из самых тревожных находок была уязвимость в библиотеке "Jetpack Navigation". Почти каждое четвертое Android-приложение оказалось подвержено этой проблеме, позволяя обходить экран авторизации. Это означало, что любое стороннее приложение могло открыть другое приложение на главном экране без ввода пин-кода.
4️⃣ Хранение конфиденциальной информации
По-прежнему одной из самых распространённых проблем является избыточное хранение конфиденциальных данных в открытом виде. 😲 Мы обнаружили приложение, которое сохраняло абсолютно все данные, получаемые с серверной части, включая паспортные данные, СНИЛС и много другой информации пользователя, фактически не защищая их.
5️⃣ SQL-инъекции
В нескольких приложениях были выявлены уязвимости SQL-инъекций. Это позволяло злоумышленникам менять аккаунт в уязвимом приложении. После эксплуатации такой уязвимости пользователь, открыв приложение, мог попасть в чужой аккаунт, что потенциально могло привести к кражам средств и фишингу.
Помните, что забота о безопасности мобильных приложений — это не просто обязанность, а инвестиция в доверие ваших пользователей. Платформа Стингрей поможет вам держать уровень защиты на высоте, выявляя уязвимости и укрепляя безопасность данных.🛡
#Экспертиза_AppSec #MAST
За год мы проанализировали множество приложений, разработанных с использованием фреймворка Flutter. Наша статистика показывает, что 9 из 10 таких приложений имеют хотя бы одну из трех уязвимостей, связанных с локальной аутентификацией:
- Неограниченное количество попыток ввода пин-кода (что ведет к возможности полного перебора).
- Отсутствие реакции на изменения биометрических данных.
- Возможность обхода биометрической аутентификации.
Мы заметили, что многие разработчики неправильно интегрируют сторонние сервисы и ключи доступа. 🔑 Часто во время аудита не проверяют, как именно подключены сторонние сервисы и как хранятся ключи. Самым запоминающимся, был открытый сервис Firebase Remote Config, внутри которого были все ключи доступа ко всем остальным интеграциям в приложении, включая релизные и разработческие сервисы. То есть, как только эти ключи туда попали, их можно считать скомпрометированными и ненадежными. Поскольку это было финансовое приложение, интеграции также были с платежными системами.
Одной из самых тревожных находок была уязвимость в библиотеке "Jetpack Navigation". Почти каждое четвертое Android-приложение оказалось подвержено этой проблеме, позволяя обходить экран авторизации. Это означало, что любое стороннее приложение могло открыть другое приложение на главном экране без ввода пин-кода.
По-прежнему одной из самых распространённых проблем является избыточное хранение конфиденциальных данных в открытом виде. 😲 Мы обнаружили приложение, которое сохраняло абсолютно все данные, получаемые с серверной части, включая паспортные данные, СНИЛС и много другой информации пользователя, фактически не защищая их.
В нескольких приложениях были выявлены уязвимости SQL-инъекций. Это позволяло злоумышленникам менять аккаунт в уязвимом приложении. После эксплуатации такой уязвимости пользователь, открыв приложение, мог попасть в чужой аккаунт, что потенциально могло привести к кражам средств и фишингу.
Помните, что забота о безопасности мобильных приложений — это не просто обязанность, а инвестиция в доверие ваших пользователей. Платформа Стингрей поможет вам держать уровень защиты на высоте, выявляя уязвимости и укрепляя безопасность данных.
#Экспертиза_AppSec #MAST
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
У нас много полезного контента, и чтобы вам было проще ориентироваться, мы подготовили небольшую навигацию.
Релизы новых версий продуктов:
#AppSecHub_Релизы
#Стингрей_Релизы
#AppSecTrack_Релизы
#AppSecCode_Релизы
Практики DevSecOps: #OSA_SCA #ASPM #MAST #SCM
#Экспертиза_AppSec — экспертные мнения и разборы по вопросам безопасной разработки.
#AppSec_исследование — исследования, отчёты и аналитические доклады по безопасности приложений.
#AppSec_Лонгрид - развёрнутые статьи по Application Security.
#ПодкастВнутриDevSecOps — эпизоды нашего подкаста, посвящённого DevSecOps.
#AppSec_Вебинары — записи прошедших вебинаров и анонсы будущих.
#AppSec_Кейсы - примеры реальных кейсов и историй успеха наших клиентов.
#AppSec_Партнёрство — взаимодействие с партнёрами, совместные проекты и инициативы.
#AppSec_Мероприятия — анонсы мероприятий, конференций и встреч.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1
Как тестировать безопасность мобильных приложений
Практика MAST (Mobile Application Security Testing) — ключевой элемент в создании надежных и защищенных продуктов.
— отметил Юрий Шабалин, директор продукта AppSec.Sting.
Цель MAST — помочь разработчикам устранить проблемы безопасности до запуска приложения, тем самым обеспечив защиту пользовательских данных и сохранение целостности приложения.
Разберем процесс по основным шагам:
1️⃣Определение целей тестирования
Четко обозначьте, какие функции и компоненты приложения будут проверяться. Это может быть работа с пользовательскими данными, модули аутентификации, взаимодействие с сервером и многое другое. Ясность целей помогает сфокусировать усилия на критичных зонах.
2️⃣Анализ архитектуры и выявление угроз
Изучите структуру приложения, используемые технологии, сторонние библиотеки и точки интеграции. Выявите потенциальные уязвимости и направления возможных атак.
3️⃣Тестирование уязвимостей
Применяйте комплекс подходов: DAST, SAST, IAST, API ST. Они предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.
4️⃣Приоритизация и исправление уязвимостей
Не все уязвимости одинаковы — оцените их риск и влияние, чтобы понять, какие из них нужно исправить в первую очередь. Важно иметь план действий и отслеживать статус устранения проблем.
5️⃣Регулярный мониторинг и повторное тестирование
Безопасность — процесс непрерывный. После обновлений и изменений в приложении важно проводить повторное тестирование, чтобы поддерживать уровень защиты.
Использование платформы автоматизированного анализа защищенности мобильных приложений AppSec.Sting снижает на 60% затраты на обеспечение безопасности за счет автоматизации и комплексного анализа и упрощает работу с уязвимостями.
#Экспертиза_AppSec #MAST
Практика MAST (Mobile Application Security Testing) — ключевой элемент в создании надежных и защищенных продуктов.
Мобильные приложения можно считать одними из самых недооцененных звеньев в безопасном цикле разработки ПО. Зачастую при анализе защищенности всей системы мобильные приложения или проверяют в последнюю очередь, или не проверяют совсем, забывая при этом, что огромное количество пользователей взаимодействует с системой именно через мобилку. Также часто забывают и об особенностях разработки и дистрибуции мобильных приложений, которые сильно отличаются от привычных серверных частей системы.
— отметил Юрий Шабалин, директор продукта AppSec.Sting.
Цель MAST — помочь разработчикам устранить проблемы безопасности до запуска приложения, тем самым обеспечив защиту пользовательских данных и сохранение целостности приложения.
Разберем процесс по основным шагам:
1️⃣Определение целей тестирования
Четко обозначьте, какие функции и компоненты приложения будут проверяться. Это может быть работа с пользовательскими данными, модули аутентификации, взаимодействие с сервером и многое другое. Ясность целей помогает сфокусировать усилия на критичных зонах.
2️⃣Анализ архитектуры и выявление угроз
Изучите структуру приложения, используемые технологии, сторонние библиотеки и точки интеграции. Выявите потенциальные уязвимости и направления возможных атак.
3️⃣Тестирование уязвимостей
Применяйте комплекс подходов: DAST, SAST, IAST, API ST. Они предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.
4️⃣Приоритизация и исправление уязвимостей
Не все уязвимости одинаковы — оцените их риск и влияние, чтобы понять, какие из них нужно исправить в первую очередь. Важно иметь план действий и отслеживать статус устранения проблем.
5️⃣Регулярный мониторинг и повторное тестирование
Безопасность — процесс непрерывный. После обновлений и изменений в приложении важно проводить повторное тестирование, чтобы поддерживать уровень защиты.
Использование платформы автоматизированного анализа защищенности мобильных приложений AppSec.Sting снижает на 60% затраты на обеспечение безопасности за счет автоматизации и комплексного анализа и упрощает работу с уязвимостями.
#Экспертиза_AppSec #MAST
🔥4