Útmutató a mobil alkalmazások teszteléséhez

Egy olyan útmutató tervezete jelent meg, amely hamarosan alapjául szolgálhat a mobil alkalmazások biztonsági tesztelésének.
 

Az amerikai NIST (National Institute of Standards and Technology) úgy határozott, hogy a mobilbiztonsági kockázatok felmérése és csökkentése érdekében egy útmutatót dolgoz ki a mobil alkalmazások teszteléséhez. A cél, hogy a biztonsági vizsgálatokat olyan módon lehessen elvégezni, hogy azok reprodukálhatók, konzisztensek és valóban hatékonyak legyenek. Erre azért van szükség, mert az egyre több fenyegetettség, illetve adatvédelmi, adatbiztonsági kockázat miatt az intézményi, vállalati hálózatokat mind több veszélyforrással szemben kell felkészíteni. Ennek pedig egyik fontos lépése, hogy az éppen bevezetésre kerülő mobil alkalmazások minden szempontból megfeleljenek a biztonsági követelményeknek.
 
A "Technical Considerations for Vetting 3rd Party Mobile Applications" című dokumentum jelenleg egy tervezet, amelyet szeptember 18-ig bárki véleményezhet. Ezt követően a készítői összefoglalják, felhasználják a beérkező észrevételeket, majd várhatóan még az idén elérhetővé teszik a végleges kiadást. Ugyanakkor már a tervezetbe is érdemes belenézni, hiszen egy meglehetősen jól felépített dokumentumról van szó, amely a mobil alkalmazások teljes életciklusának lefedésével próbálja felvázolni a potenciális fenyegetettségeket, azok felismerésének módját és a tesztelések mikéntjét. A dokumentum a jelenlegi formájában elsősorban az Android és az Apple iOS kapcsán fogalmaz meg ajánlásokat, de mivel számos általános érvényű jó tanács szerepel benne, ezért más platformok esetében is hasznos segítséget nyújthat.
 
„Az ügynökségeknek, szervezeteknek pontosan tisztában kell lenniük azzal, hogy egy-egy mobil alkalmazás mit is csinál valójában, és milyen hatása lehet az adatvédelemre, illetve a biztonságra. E nélkül ugyanis nem lehet csökkenteni a potenciális kockázatokat" - nyilatkozta Tom Karygiannis, az NIST kutatója.
 
Az NIST útmutatója a biztonsági tesztelések teljes folyamatát átfogja kezdve a környezetek felmérésétől egészen a statikus és dinamikus vizsgálatokig, kódelemzésekig. Eközben ismerteti a legrelevánsabb kockázati tényezőket: hiányos adatvédelmi eljárások, kártékony funkciók, mobilvírusok, sebezhetőségek, rendelkezésre állás sérülése, rejtett hálózati kommunikáció, nem biztonságos fájlműveletek, bemeneti paraméterek nem megfelelő ellenőrzése, nemkívánatos telefon- és SMS-kezelés stb. Mindezek mellett kitér az alkalmazások teljesítménymérésére is.