Automatizált hibafeltárás mobil alkalmazásokban

A mobil alkalmazások által jelentett biztonsági kockázatok kezeléséhez kritikus fontosságú védelmi intézkedések meghozatalára van szükség. Ehhez azonban előbb tisztában kell lenni az appok sebezhetőségeivel.

A mobil alkalmazások egyre nagyobb szerepet kapnak vállalati és intézményi körökben is. A megfelelő módon kialakított appok segítik a termelékenység növelését, kényelmesebbé teszik a munkavégzést és hatékonyabb kommunikációt biztosítanak mind a szervezeten belül, mind az ügyfelek, partnerek felé. Sajnos azonban eközben a biztonsági kockázatok listája egyre csak gyarapodik, ami sürgős intézkedéseket követel meg. Már csak azért is, mert a mobil világban sincsenek biztonsági résektől mentes szoftverek, amivel a támadók, adattolvajok, csalók is pontosan tisztában vannak.
 
Ahhoz, hogy a mobilbiztonsági kockázatok pontosan feltérképezhetők, majd kezelhetők legyenek, szükség van arra, hogy a vállalatok, intézmények előtt láthatóvá váljanak az általuk használt mobil alkalmazások sebezhető pontjai. Ez azonban korántsem egyszerű feladat: sok szervezet külön szakembergárdát vagy külső szakértőket alkalmaz a szoftveres sérülékenységek kimutatásához. Viszont ez nem minden esetben kifizetődő, hiszen a vizsgálatok idő- és költségigénye is magas lehet. A helyzetet nehezíti, hogy a mobil alkalmazások száma fokozatosan nő, és a szoftverek többségéből egyre gyakrabban jelennek meg újabb és újabb verziók, amiknek a tesztelésére ugyancsak figyelmet kell fordítani. Eközben maguknak a fejlesztőknek sincs könnyű dolguk, hiszen ha a saját kódjaik biztonságára fokozottan ügyelnek is, a felhasznált, harmadik féltől származó szoftveres összetevőkbe, komponensekbe sokszor ők sem látnak bele, így nem tudnak minden biztonsági résre reagálni.
 
A kockázatokat jól szemlélteti az App-Ray cég által 10 ezer mobil alkalmazás bevonásával elvégzett felmérés is. Kiderült ugyanis, hogy a vizsgált szoftverek majdnem fele nem kezelte megfelelően a felhasználói adatokhoz való hozzáféréseket. A 69 százalékuk semmiféle titkosítást nem alkalmazott. A 26 százalékuk pedig védelem nélküli csatornákon keresztül kommunikált egyéb rendszerekkel, szerverekkel.  
A bécsi székhelyű App-Ray által kifejlesztett technológia célja, hogy az említett védelmi nehézségekre hatékony választ adjon. Ehhez olyan partnerekre talált, mint például a Siemens, a Deutsche Telekom, a Swisscom vagy az IBM. Az egyre szélesebb körben használt platformja immár a magyar piacon is elérhető, köszönhetően annak, hogy a Digital Forensics Kft. kizárólagos hazai képviseleti jogot kapott az osztrák cégtől.
 
„A mobil alkalmazásokban lévő biztonsági rések felderítése nagy kihívásokat tartogat. Nemcsak azért, mert sok app létezik, hanem azért is, mert ezekből gyakorta hetente jelennek meg az új verziók. Sok szoftver esetében a fejlesztők olyan technikákat is alkalmaznak a – forráskódok védelme érdekében –, amik megnehezítik a programok elemzését. Pedig a hagyományos módszerek nagymértékben építenek a forráskódok vizsgálatára, ami sokszor manuálisan, sok erőforrást lekötve történik. Az App-Ray platform ezen a kedvezőtlen helyzeten változtat” – nyilatkozta Szabó Attila, a Digital Forensics ügyvezetője.
 
Mélységi szoftverelemzés
 
Az App-Ray jelenleg az Android (nemsokára már iOS) kompatibilis mobil alkalmazások mélyreható vizsgálatára alkalmas. Mindezt többféle, egymásra épülő módszer segítségével valósítja meg. A tesztelés nyilvános alkalmazásáruházakban elérhető, illetve szervezeten belül fejlesztett szoftverekre is kiterjeszthető.
 
A vizsgálat minden esetben egy metaadat-elemzéssel kezdődik, aminek során a szoftver feltérképezi a górcső alá vett alkalmazáshoz tartozó fájlokat, erőforrásokat, komponenseket és engedélyeket. Majd kezdetét veszi a statikus elemzés, aminek célja a forráskódban lévő anomáliák feltárása, a helytelen programozásból eredő hibák kiszűrése. Ehhez nincs szükség arra, hogy a forráskód is rendelkezésre álljon, a szoftver jó hatékonysággal képes e nélkül is az elemzésekre. A statikus vizsgálat során fény derülhet egyebek mellett SQL injection típusú sérülékenységekre, az SSL/TLS kapcsolatok nem megfelelő kezelésére vagy biztonsági kockázatot jelentő API-használatra. Különös figyelmet kapnak azok az esetek, amikor a tesztelt app kockázatos módon küld, illetve fogad személyes vagy egyéb bizalmas adatokat.  
A statikus elemzések során a vizsgált alkalmazás futtatására még nem kerül sor. Ugyanakkor a következő lépésben ez sem marad el, ugyanis a többszintű, dinamikus tesztek már erre hivatott környezetben, futási időben veszik szemügyre az adott programot. Ekkor – egyebek mellett a statikus elemzések eredményeinek figyelembevételével – viselkedéselemző technológiák is szerephez jutnak. Ezek kiterjednek a fájl- és hálózathozzáférésekre, miközben a korábban feltárt potenciális sérülékenységek validálása is megtörténik. A magas fokon automatizált ellenőrzések előre rögzített bemeneti adatok alapján is elvégezhetők. A tesztek futtatása helyi rendszeren és felhős környezetben is elvégezhető.
 
A fenti vizsgálati módszerekkel többek között a Facebook, a Skype és a PayPal mobil alkalmazásokban is sikerült már kimutatni sérülékenységeket.
 
Amikor kibújik a szög a zsákból
 
Az App-Ray sebezhetőségelemző keretrendszere a vizsgálati eredményeket összegyűjti, és azok alapján egy átfogó jelentést készít. A riport mind a biztonsági szakemberek, mind a fejlesztők számára kellő részletességű ahhoz, hogy a kockázatok értékelése, illetve a biztonsági rések befoltozása megtörténhessen. A jelentés alapján pontosan felmérhető, hogy jelentenek-e fenyegetést a nyilvános alkalmazásáruházakból letöltött szoftverek. Emellett a belső alkalmazásfejlesztések is hatékonyabbá tehetők. Amennyiben pedig a szoftverfejlesztések kiszervezett formában történnek, akkor a külső partnerek munkája is ellenőrizhetővé válhat a megrendelő által.
 
A cikk megjelenését az App-Ray megoldások kizárólagos hazai forgalmazója, a Digital Forensics Kft. támogatta.