Что же такое Firebase?
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
Firebase — это платформа, разработанная Google, которая предлагает набор инструментов для создания мобильных приложений на iOS, Android, Web, Flutter, Unity и C++. Она позволяет разработчикам быстро создавать и развертывать приложения, используя облачные ресурсы, а также предоставляет решения для анализа и оптимизации работы программ.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
🔥2
Топ-5 интересных находок при сканировании мобильных приложений в 2024 году! 📱
1️⃣ Приложения на Flutter
За год мы проанализировали множество приложений, разработанных с использованием фреймворка Flutter. Наша статистика показывает, что 9 из 10 таких приложений имеют хотя бы одну из трех уязвимостей, связанных с локальной аутентификацией:
- Неограниченное количество попыток ввода пин-кода (что ведет к возможности полного перебора).
- Отсутствие реакции на изменения биометрических данных.
- Возможность обхода биометрической аутентификации.
2️⃣ Использование сторонних сервисов
Мы заметили, что многие разработчики неправильно интегрируют сторонние сервисы и ключи доступа. 🔑 Часто во время аудита не проверяют, как именно подключены сторонние сервисы и как хранятся ключи. Самым запоминающимся, был открытый сервис Firebase Remote Config, внутри которого были все ключи доступа ко всем остальным интеграциям в приложении, включая релизные и разработческие сервисы. То есть, как только эти ключи туда попали, их можно считать скомпрометированными и ненадежными. Поскольку это было финансовое приложение, интеграции также были с платежными системами.
3️⃣ Уязвимость в Android Jetpack Navigation Library
Одной из самых тревожных находок была уязвимость в библиотеке "Jetpack Navigation". Почти каждое четвертое Android-приложение оказалось подвержено этой проблеме, позволяя обходить экран авторизации. Это означало, что любое стороннее приложение могло открыть другое приложение на главном экране без ввода пин-кода.
4️⃣ Хранение конфиденциальной информации
По-прежнему одной из самых распространённых проблем является избыточное хранение конфиденциальных данных в открытом виде. 😲 Мы обнаружили приложение, которое сохраняло абсолютно все данные, получаемые с серверной части, включая паспортные данные, СНИЛС и много другой информации пользователя, фактически не защищая их.
5️⃣ SQL-инъекции
В нескольких приложениях были выявлены уязвимости SQL-инъекций. Это позволяло злоумышленникам менять аккаунт в уязвимом приложении. После эксплуатации такой уязвимости пользователь, открыв приложение, мог попасть в чужой аккаунт, что потенциально могло привести к кражам средств и фишингу.
Помните, что забота о безопасности мобильных приложений — это не просто обязанность, а инвестиция в доверие ваших пользователей. Платформа Стингрей поможет вам держать уровень защиты на высоте, выявляя уязвимости и укрепляя безопасность данных.🛡
#Экспертиза_AppSec #MAST
За год мы проанализировали множество приложений, разработанных с использованием фреймворка Flutter. Наша статистика показывает, что 9 из 10 таких приложений имеют хотя бы одну из трех уязвимостей, связанных с локальной аутентификацией:
- Неограниченное количество попыток ввода пин-кода (что ведет к возможности полного перебора).
- Отсутствие реакции на изменения биометрических данных.
- Возможность обхода биометрической аутентификации.
Мы заметили, что многие разработчики неправильно интегрируют сторонние сервисы и ключи доступа. 🔑 Часто во время аудита не проверяют, как именно подключены сторонние сервисы и как хранятся ключи. Самым запоминающимся, был открытый сервис Firebase Remote Config, внутри которого были все ключи доступа ко всем остальным интеграциям в приложении, включая релизные и разработческие сервисы. То есть, как только эти ключи туда попали, их можно считать скомпрометированными и ненадежными. Поскольку это было финансовое приложение, интеграции также были с платежными системами.
Одной из самых тревожных находок была уязвимость в библиотеке "Jetpack Navigation". Почти каждое четвертое Android-приложение оказалось подвержено этой проблеме, позволяя обходить экран авторизации. Это означало, что любое стороннее приложение могло открыть другое приложение на главном экране без ввода пин-кода.
По-прежнему одной из самых распространённых проблем является избыточное хранение конфиденциальных данных в открытом виде. 😲 Мы обнаружили приложение, которое сохраняло абсолютно все данные, получаемые с серверной части, включая паспортные данные, СНИЛС и много другой информации пользователя, фактически не защищая их.
В нескольких приложениях были выявлены уязвимости SQL-инъекций. Это позволяло злоумышленникам менять аккаунт в уязвимом приложении. После эксплуатации такой уязвимости пользователь, открыв приложение, мог попасть в чужой аккаунт, что потенциально могло привести к кражам средств и фишингу.
Помните, что забота о безопасности мобильных приложений — это не просто обязанность, а инвестиция в доверие ваших пользователей. Платформа Стингрей поможет вам держать уровень защиты на высоте, выявляя уязвимости и укрепляя безопасность данных.
#Экспертиза_AppSec #MAST
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
У нас много полезного контента, и чтобы вам было проще ориентироваться, мы подготовили небольшую навигацию.
Релизы новых версий продуктов:
#AppSecHub_Релизы
#Стингрей_Релизы
#AppSecTrack_Релизы
#AppSecCode_Релизы
Практики DevSecOps: #OSA_SCA #ASPM #MAST #SCM
#Экспертиза_AppSec — экспертные мнения и разборы по вопросам безопасной разработки.
#AppSec_исследование — исследования, отчёты и аналитические доклады по безопасности приложений.
#AppSec_Лонгрид - развёрнутые статьи по Application Security.
#ПодкастВнутриDevSecOps — эпизоды нашего подкаста, посвящённого DevSecOps.
#AppSec_Вебинары — записи прошедших вебинаров и анонсы будущих.
#AppSec_Кейсы - примеры реальных кейсов и историй успеха наших клиентов.
#AppSec_Партнёрство — взаимодействие с партнёрами, совместные проекты и инициативы.
#AppSec_Мероприятия — анонсы мероприятий, конференций и встреч.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1