Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Почему iOS‑приложения не безопасны на самом деле

2
1 мин
Руководитель продукта AppSec.Sting компании AppSec Solutions, Юрий Шабалин, рассказал о серьезных уязвимостях в приложениях на платформе iOS в рамках Mobile Meetup. Конференция для мобильных разработчиков прошла 10 сентября в Москве. Эксперт по мобильным приложениям на примерах развенчал теорию о неуязвимости «закрытой» операционной системы, на которой работают популярные «яблочные» гаджеты. По словам Юрия Шабалина, несмотря на закрытый исходный код и жесткий контроль при публикации обновлений в App Store, при сравнении одного и того же приложения на двух платформах, версия для iOS зачастую содержит больше проблем, чем ее Android-аналог. «Закрытость системы, к сожалению, не синоним безопасности, — рассказал Юрий Шабалин, — свежие таргетированные атаки на приложения iOS — это подтверждают и дают хороший повод не расслабляться и строить «второй контур» безопасности в приложении. Ошибки при разработке и надежда на операционную систему — главные причины проблем. Уязвимым показал себя и кро
Изображение: Oliur (unsplash)
Изображение: Oliur (unsplash)

Руководитель продукта AppSec.Sting компании AppSec Solutions, Юрий Шабалин, рассказал о серьезных уязвимостях в приложениях на платформе iOS в рамках Mobile Meetup. Конференция для мобильных разработчиков прошла 10 сентября в Москве.

Эксперт по мобильным приложениям на примерах развенчал теорию о неуязвимости «закрытой» операционной системы, на которой работают популярные «яблочные» гаджеты. По словам Юрия Шабалина, несмотря на закрытый исходный код и жесткий контроль при публикации обновлений в App Store, при сравнении одного и того же приложения на двух платформах, версия для iOS зачастую содержит больше проблем, чем ее Android-аналог.

«Закрытость системы, к сожалению, не синоним безопасности, — рассказал Юрий Шабалин, — свежие таргетированные атаки на приложения iOS — это подтверждают и дают хороший повод не расслабляться и строить «второй контур» безопасности в приложении. Ошибки при разработке и надежда на операционную систему — главные причины проблем. Уязвимым показал себя и кроссплатформенный фреймворк Flutter, который разработчики часто используют для создания приложений на iOS. Так исследование, проведенное AppSec.Sting, показало, что в 9 из 10 приложений встречается хотя бы одна из этих проблем: хранение данных в открытом виде в KeyChain (iOS), отсутствие реакции на изменение биометрических данных и возможность обхода биометрической аутентификации, возможность бесконечно «перебирать» PIN-код».

Среди распространенных проблем эксперт называет опасность компрометации данных в хранилище, где содержатся пароли, токены аутентификации, ключи шифрования. Возможность отключать различные функции на стороне пользователя дает хакерам дополнительные возможности. Так, к примеру, iOS позволяет вручную включить полное доверие к установленному корневому сертификату.

Оригинал публикации на сайте CISOCLUB: "Мобильные приложения на iOS оказались уязвимее, чем на Android".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

iPhone
151,8 тыс интересуются