Требования к безопасности мобильного приложения

Безопасность данных в разработке мобильных приложений

При разработке мобильного приложения следует учитывать, что данные, которыми оперирует это приложение, могут представлять определенный интерес для третьих лиц. Степень ценности этих данных варьируется в широких пределах, тем не менее, даже наиболее простая приватная информация, например, пароль входа в приложение, требует проработки ее защиты. Особенно это важно в свете распространения мобильных приложений на все сферы электронных услуг, включая финансовые, банковские операции, хранение и передачу личных данных и так далее. Всем интересующимся — добро пожаловать под кат.

Все нижесказанное — исключительно мой опыт, безусловно, данные могут быть неточными, поэтому буду благодарен за любые поправки и дополнения к статье. Я не нашел исчерпывающих статей в сети на подобную тематику, которые бы собирали всю нужную (хотя бы базовую) информацию в одном месте, поэтому решил обобщить свой опыт в этой области на текущий момент времени.

Защита мобильного приложения

Основные виды атак на мобильное приложение:

  • Декомпиляция файла приложения (.ipa-файлы для Apple iOS и .apk-файлы для Google Android) и разбор локально сохраненных данных. Защита этого, наиболее важного в настоящее время, уровня целиком лежит на плечах мобильного разработчика.
  • Перехват данных, передаваемых по сети (MITM-атаки). Большинство мобильных приложений являются клиент-серверными, следовательно, постоянно передают и принимают большие объемы информации. И хотя современная мобильная и веб-разработка активно завершают переход на HTTPS-протокол общения, тем не менее, не стоит полагаться на единственный рубеж защиты в виде защищенного канала связи.
  • Рутование устройства и атака на приложение и применяемые в нем алгоритмы через внешние отладочные инструменты.
  • Перечень основных уязвимостей приложений

    Рассмотрим уязвимости общего характера, без привязки к конкретной платформе. Здесь и далее используется аббревиатура КВД — критически важные данные пользователей. К КВД относятся любые данные, которые не должны быть доступны третьей стороне, это касается как персональных данных пользователя (дата рождения, адрес проживания, личная переписка), так и его приватных данных (пароли, данные кредитных карт, номера банковских счетов, номера заказов и так далее).

    Перечень основных уязвимостей следующий:

    Использование незащищенных локальных хранилищ.

  • Опасность: Очень высокая.
  • Комментарий: Встречается повсеместно, выражается в хранении КВД в незащищенных или слабо защищенных локальных хранилищах, специфических для конкретной платформы. Вскрытие третьей стороной — элементарное, и, как правило, не требуется наличие специальных навыков у атакующего.
  • Защита: Хранить КВД можно только в защищенных хранилищах платформы.
  • Хранение КВД в коде.

  • Комментарий: Уязвимость касается хранения КВД внутри кода (в статических константных строках, в ресурсах приложения и т.п.). Яркие примеры: хранение соли для пароля (password salt) в константе или макросе, которая применяется по всему коду для шифрования паролей; хранение приватного ключа для асимметричных алгоритмов; хранение паролей и логинов для серверных узлов или баз данных. Легко вскрывается третьей стороной при наличии базовых навыков декомпиляции.
  • Защита: Не хранить никакие КВД в коде или ресурсах приложения.
  • Применение алгоритмов с хранением приватного ключа.

  • Опасность: Высокая.
  • Комментарий: Уязвимость актуальна в случае, если приватная информация алгоритма (приватный ключ) вынужденно сохраняется в коде или ресурсах мобильного приложения (чаще всего так и бывает). Легко вскрывается методом декомпиляции.
  • Защита: В мобильной разработке желательно применять только современные симметричные алгоритмы с генерируемым случайным одноразовым ключом, обладающие высокой стойкостью с взлому методом грубой силы, либо выводить асимметричный приватный ключ за пределы приложения, либо персонализировать этот ключ (как пример — приватным ключом может выступать пользовательский код входа, сохраненный в зашифрованном виде в защищенном хранилище операционной системы).
  • Использование асимметричного алгоритма с приватным ключом, известным серверу.

  • Опасность: Зависит от степени защищенности сервера.
  • Комментарий: Уязвимость носит двойной характер. Хранение приватного ключа допускает возможность расшифровки пользовательских данных на стороне сервера. Во-первых, это некорректно с точки зрения безопасности (если сервер будет взломан — атакующий также получит доступ к приватным данным пользователей), а во-вторых, это нарушает приватность персональных данных. Пользователь всегда должен быть уверен, что его персональная информация не известна никому, кроме него самого (только если он явно не дал разрешение на ее публикацию). Часто приложения позиционируют себя как защищенные, но на деле таковыми не являются, так как содержат внутри себя средства для расшифровки персональной информации.
  • Защита: Без явной необходимости и явного разрешения пользователя (чаще всего через лицензионное соглашение) ни приложение, ни сервер не должны иметь никакой возможности расшифровать приватные данные пользователя. Простейший пример — пароль пользователя должен уходить на сервер уже в виде хеша, и проверяться должен хеш, а не исходный пароль (серверу абсолютно незачем знать пользовательский пароль; если же пользователь его забыл — для такой ситуации существует давно отлаженный механизм восстановления пароля, в том числе с двухфакторной авторизацией клиента для повышенной безопасности процедуры восстановления).
  • Использование самописных алгоритмов шифрования и защиты.

  • Комментарий: Это прямое нарушение принципа Керкгоффса. Выражается в попытке разработчика изобрести «свой личный, не известный никому, а поэтому супер-защищенный алгоритм шифрования». Любое отклонение от существующих, многократно проверенных и изученных, математически доказанных алгоритмов шифрования в 99% случаев оборачивается быстрым взломом подобной «защиты». Требует наличия средне-высоких навыков у атакующего.
  • Защита: Следует подбирать подходящий алгоритм только из отлаженных и актуальных общеизвестных криптографических алгоритмов.
  • Передача КВД во внешнюю среду в открытом виде.

  • Комментарий: Выражается в передаче КВД без применения шифрования по любому доступному каналу связи с внешней средой, будь то передача данных стороннему приложению или передача в сеть. Может быть вскрыто опосредованно путем вскрытия не приложения, а его хранилища, или целевого приложения. Взлом требователен к наличию навыков у атакующего, при условии, что хранилище является защищенным.
  • Защита: Любые КВД перед выходом за пределы приложения должны быть зашифрованы. Локальные хранилища платформы не являются областью приложения, они тоже должны получать на вход только зашифрованные данные.
  • Игнорирование факта наличия рутованных или зараженных устройств.

  • Опасность: Средняя.
  • Комментарий: Рутованные устройства — это девайсы, где выполнена модификация для получения прав суперпользователя на любые операции, изначально запрещенные производителем операционной системы. Выполняется пользователем на своем устройстве самостоятельно, и не обязательно добровольно (клиент может быть не в курсе, что устройство взломано). Установка приложения на рутованный девайс нивелирует все штатные средства защиты операционной системы.
  • Защита: Если это технически возможно для платформы — то желательно запрещать работу приложения, если удалось понять, что запуск производится на рутованном устройстве, или хотя бы предупреждать об этом пользователя (спасибо за дополнение DjPhoeniX).
  • Хранение КВД в защищенных хранилищах, но в открытом виде.

  • Комментарий: Разработчики зачастую склонны сохранять КВД в защищенные системные хранилища без дополнительной защиты, поскольку системные механизмы хорошо сопротивляются взлому. Однако уровень их стойкости падает до минимума в случае, если устройство рутованное.
  • Защита: КВД не должны использоваться в приложении без дополнительного шифрования. Как только надобность в «открытых» КВД отпала — они немедленно должны быть либо зашифрованы, либо уничтожены.
  • Перевод части функционала во встроенные веб-движки.

  • Комментарий: Чаще всего выглядит как передача КВД во встроенный браузер, где загружается внешняя веб-страница, выполняющая свою часть функционала. Уровень защиты в этом случае резко снижается, особенно для рутованных устройств.
  • Защита: Не использовать встроенный браузер и встроенный веб-движок в операциях с КВД. На крайний случай — шифровать КВД перед передачей.
  • Реверсивная инженерия алгоритмов, представляющих интеллектуальную ценность.

  • Опасность: Низкая, зависит от ценности алгоритма.
  • Комментарий: Если при разработке приложения внутри компании используются некие собственные алгоритмы, которые могут представлять высокую ценность для потенциальных конкурентов или взломщиков, то эти алгоритмы должны быть защищены от постороннего доступа.
  • Защита: Автоматическая или ручная обфускация кода.
  • Специфика разработки мобильных приложений

    Есть несколько общих для всех мобильных платформ моментов, которые следует соблюдать при разработке.

    Защита пользовательским кодом

    Функционирование клиент-серверного приложения

    Работа с датами

    Дополнительные рекомендации

    Специфическая информация по платформе iOS

    Рассмотрим доступные для разработчика хранилища данных при разработке под iOS:

  • Комментарий: Используется только для хранения безопасных для функционирования приложения данных, не связанных с приватной информацией. Чаще всего туда записывают только клиентские настройки интерфейса. Для других данных это хранилище не подходит, так как представляет собой обычный файл и вскрывается за несколько секунд.
  • Бинарные файлы (NSKeyedArchiver).

  • Штатная защищенность: Средняя, если пользоваться атрибутом NSFileProtectionComplete по ключу NSFileProtectionKey , иначе — отсутствует (спасибо за дополнение agee).
  • Комментарий: Сами по себе являются физическими файлами и могут быть элементарно доступны третьей стороне. Уровень защиты зависит исключительно от примененных к данным алгоритмов шифрования. Это не самое удобное место для хранения данных, поэтому без особой необходимости (чаще всего это возможность передавать эти данные, к примеру, по электронной почте) лучше подобный способ не применять. Если файл создан со значением атрибута NSFileProtectionComplete для ключа NSFileProtectionKey , то операционная система удерживает этот файл в зашифрованном состоянии, пока устройство заблокировано или находится в состоянии загрузки, но при несоблюдении этих условий данные будут доступны на чтение и запись, как в обычном файле, так что это лишь временная мера с узкой областью применения.
  • Штатная защищенность: Зависит от движка и разработчика.
  • Комментарий: Современные движки БД поддерживают внутреннее шифрование данных. Разработчику понадобится найти баланс между шифрованием и производительностью, включить шифрование базы для критических данных, а также дополнительно применять шифрование для КВД перед записью в базу.
  • Связка ключей (Keychain).

  • Штатная защищенность: Максимальная (не распространяется на устройства с джейлбрейком).
  • Комментарий: Наиболее удачное место для хранения любых КВД. Однако, учитывая, что устройство может быть рутованным, все КВД должны быть зашифрованы дополнительно перед сохранением в Keychain. Кроме того, нужно с осторожностью использовать облачную синхронизацию из-за возможности автоматического сохранения Keychain в облаке. В случае, если приложение использует CloudKit, необходимо внимательно следить за данными, которые не должны синхронизироваться (если таковые имеются), и исключать их из набора копируемых данных.
  • Специфическая информация по платформе Android

    Я слабо разбираюсь в платформе Android, поэтому нижеизложенный список — это краткое тезисное изложение базовых материалов, которые мне удалось найти по этой платформе:

  • Наиболее удачным вариантом пользовательского кода является графический код, цифровой (6 цифр или более) — как дополнительный вариант.
  • Запрос разрешений (permissions) на определенные виды активности приложения обязателен и должен выполняться явно для пользователя с разъяснением, для чего именно будет использовано разрешение. Запрашивать определенное разрешение нужно только в случае прямой необходимости его использования, также, запрос на разрешение нужно показывать именно в тот момент, когда оно понадобилось, не ранее. Кроме того, если целевая версия Android SDK равна 23 (или новее) — то следует проводить запрос разрешений только через систему разрешений совместимости (Compatibility Permissions System).
  • HTTP-клиент должен быть настроен на принудительное использование защищенного канала связи (HTTPS).
  • В релизной сборке приложения должны быть отключены все отладочные функции, например, опция debuggable , во избежание возможности подключения к программе внешним отладочным приложением.
  • На экранах приложения, где размещается приватная информация пользователя, будет не лишним принудительный запрет на программное создание скриншотов окна приложения, а также отключение показа скриншотов в диспетчере задач.
  • Любая приватная информация может дополнительно предваряться запросом личного ключа пользователя, заданного им для входа в приложение (если таковой имеется).
  • Внутри кода приложения для резолвинга путей рекомендуется пользоваться getCanonicalPath вместо getAbsolutePath .
  • Используемые в приложении открытые компоненты (например, Service или Content Provider) должны быть обязательно закрыты с помощью флага exported = false в манифесте приложения (Android Manifest). Это позволит запретить доступ к этим компонентам из другого приложения.
  • Кроме того, нужно с осторожностью использовать доступные хранилища информации:

  • Штатная защищенность: Отсутствует.
  • Комментарий: Должно использоваться только по прямому назначению, а именно — для хранения общедоступных незащищенных пользовательских настроек. Остальные данные здесь размещаться не должны.
  • Базы данных (SQLite).

  • Штатная защищенность: Зависит от разработчика.
  • Комментарий: Представляет собой обыкновенные файлы, так что все КВД перед записью должны быть соответствующим образом зашифрованы. База допускает возможность автоматического шифрования, его включение будет хорошим усилением защиты данных. В качестве ключа шифрования наиболее целесообразно применять код защиты, задаваемый лично пользователем приложения (код, в свою очередь, должен быть зашифрован и сохранен в Account Manager, см. описание ниже).
  • Штатная защищенность: Высокая (только до API версии 18).
  • Комментарий: Здесь следует размещать все КВД, но предварительно обязательно нужно выполнить дополнительное шифрование данных. После API 18 использование не рекомендуется.
    • Штатная защищенность: Максимальная (не распространяется на рутованные устройства, доступна с API 18).
    • Комментарий: Аналогично Account Manager, но настоятельно рекомендуется пользоваться этим хранилищем вместо него, в случае, если KeyStore доступно разработчику (API v.18, Android 4.3 и новее).
    • Заключение

      Также стоит упомянуть, что количество применяемых уровней защиты зависит от конкретного приложения. К примеру, если приложение вообще не является клиент-серверным, не содержит никаких КВД, а также не оперирует ценными внутренними алгоритмами, то вообще нет смысла навешивать на него какую-либо защиту. Если же приложение ориентировано, например, на выполнение банковских операций, или хранение пользовательских паролей, то степень его безопасности должна быть наивысшей. Однако перечисленные ранее общие уязвимости мобильного сектора достаточно легко могут быть исключены из приложения, чаще всего это не вносит особых дополнительных затрат, если применение требуемого уровня защиты было начато на ранних этапах разработки приложения. А вот внедрение защиты пост-фактум в уже работающее приложение вполне может быть сопряжено со значительными затратами сил и времени разработчиков. Поэтому выбор и согласование уровня защищенности, а также перечня КВД в разрабатываемом приложении, должны выполняться на самых ранних этапах проектирования.

      Information Security Squad

      Рассматриваете ли вы оценку безопасности мобильного приложения?

      Узнайте о 5 лучших способах компрометации приложений и основных видах тестирования и передовых методах.

      Если вам интересно, является ли ваше мобильное приложение безопасным и защищенным, возможно, пришло время подумать об оценке безопасности.

      Согласно отчету Nielsen Total Audience за первый квартал 2020 года, средний потребитель в США тратит в среднем три часа и 48 минут в день на цифровые носители, а потребители тратят 62% этого времени на приложения и использование Интернета через смартфоны.

      Поскольку многим приложениям требуется доступ к пользовательским данным, создатели приложений должны обеспечить оптимальную безопасность для своей платформы.

      Взлом данных с помощью мобильных приложений становится все более популярной целью среди киберпреступников, а средняя стоимость взлома данных составляет 3,86 млн. долларов.

      Утечки данных через незащищенные сети Wi-Fi, слабая криптография или другие уязвимости могут сделать ваше приложение главной целью для коварных исполнителей угроз.

      Узнайте о пяти лучших способах взлома приложений и о лучших мерах по тестированию безопасности для защиты вашего мобильного приложения.

      Что такое безопасность приложений и почему это важно?

      Безопасность приложений — это процесс тестирования и проверки приложения на предмет защиты мобильных приложений, веб-приложений или API от потенциальных атак.

      Организациям часто не хватает опыта и пропускной способности для адекватного мониторинга своих приложений и адаптации своего протокола безопасности для смягчения возникающих угроз.

      Кроме того, изменяющиеся законы о соблюдении требуют от предприятий соблюдения строгих требований по защите (аналогично тому, как диктует соблюдение GDPR).

      Каждое предприятие уникально и нуждается в экспертном руководстве для разработки стратегии безопасности, обеспечивающей соответствие требованиям, предотвращение атак и защиту пользовательских данных.

      Безопасность приложений необходима, потому что предприятия могут работать над развитием и улучшением бизнеса с гарантией того, что приложения защищены от потенциальной опасности.

      Безопасность приложений повышает операционную эффективность, отвечает требованиям соответствия, снижает риски и повышает доверие между бизнесом и пользователями.

      Нарушения общественной безопасности и нарушения нормативных требований серьезно подрывают репутацию предприятия и заставляют потенциальных пользователей опасаться доверять бизнес-услугам.

      Внедрение эффективной безопасности приложений — стоящее вложение.

      Безопасность мобильных приложений: 5 главных угроз безопасности для мобильных устройств

      Резкий рост количества смартфонов на рабочем месте и в повседневных ситуациях сделал их главной целью для хакеров.

      Ни одно вычислительное устройство не является на 100% безопасным, и субъекты угроз продолжают искать новые способы использования уязвимостей на мобильных устройствах.

      По словам Николаса Фирна, в 2017 году число атак на мобильные приложения возросло на 63%, поэтому крайне важно быть в курсе самых серьезных угроз безопасности для мобильных устройств.

      1. Незащищенный Wi-Fi

      Неподтвержденные серверы и незащищенные сети Wi-Fi в кофейнях или книжных магазинах — это рай для хакеров, не говоря уже об одной из самых серьезных угроз безопасности для мобильных устройств.

      По словам репортера CNBC Дженнифер Шлезингер, хакеры пытаются скомпрометировать предприятия с помощью мобильных уязвимостей из-за роста числа смартфонов на рабочем месте.

      Несмотря на предупреждения пользователей смартфонов о потенциально опасных и непроверенных серверах, пользователи продолжат подключаться к опасным сетям.

      Инициаторы угроз могут использовать эти незащищенные сети для доступа к конфиденциальным данным непосредственно с телефонов или приложений.

      2. Приложения с вредоносным кодом

      Пользователи смартфонов загрузили 197 миллиардов мобильных приложений в 2017 году.

      Однако пользователи могут загружать приложения со сторонних веб-сайтов вне Google Play Store или Apple App Store.

      Хакеры могут использовать незащищенные приложения для использования конфиденциальных данных от мобильных пользователей.

      Например, вредоносное вредоносное мобильное приложение под названием «Gooligan» заразило 1,3 миллиона пользователей Android, и субъекты угроз смогли украсть пользовательские данные.

      Хакеры могут создавать приложения-копии и размещать их в сторонних магазинах приложений, а затем, как и фишинговые схемы, использовать вредоносное программное обеспечение для кражи данных.

      Вы можете предотвратить угрозы безопасности мобильных устройств, загружая приложения только из официальных магазинов приложений.

      3. Уязвимости операционной системы

      Производители смартфонов должны постоянно обновлять операционное программное обеспечение для обеспечения технологических улучшений, новых функций и повышения общей производительности системы.

      Пользователю смартфона периодически рекомендуется обновлять операционные системы (например, пользователям iPhone в операционных системах iOS).

      Разработчики программного обеспечения отслеживают возникающие уязвимости и настраивают операционные системы для устранения угроз.

      Однако пользователи могут отказаться от обновления системы или, возможно, их устройство больше не совместимо с последним обновлением.

      Наилучшей защитой от возникающих мобильных угроз является обновление операционной системы как можно скорее и обновление мобильного устройства, если операционная система больше не совместима с новыми обновлениями.

      4. Утечки данных

      Мобильные приложения обычно хранят данные на удаленных серверах.

      Пользователи часто загружают приложения и сразу же заполняют подсказки, чтобы начать использовать приложение, но часто не проверяют это должным образом.

      Рекламодатели могут добывать данные, чтобы узнать больше о целевой демографии, но киберпреступники могут также получить доступ к серверам и утечки конфиденциальных данных.

      Непреднамеренные утечки данных могут быть вызваны кэшированием, небезопасным хранением и cookie-файлами браузера.

      5. Проблемы криптографии

      Мобильная криптография имеет решающее значение для безопасности и обеспечивает безопасную работу данных и приложений.

      Программное обеспечение iOS должно проверить, что приложение имеет цифровую подпись из надежного источника, а затем расшифровать приложение, чтобы выполнить его.

      Программное обеспечение Android просто проверяет, что приложение имеет цифровую подпись, и не обязательно проверяет надежность подписавшего.

      Такой дизайн цифрового доверия повышает важность загрузки приложений из официального источника.

      Чувствительные данные в состоянии покоя на мобильном устройстве обычно становятся жертвами непреднамеренного раскрытия из-за плохой или полной нехватки криптографических реализаций.

      Разработчики, работающие в сжатые сроки или пытающиеся срезать углы, могут использовать алгоритмы шифрования с существующими уязвимостями или вообще не использовать какое-либо шифрование.

      Субъекты угроз могут использовать эти уязвимости или грабить данные с взломанного мобильного устройства.

      Что такое тестирование мобильных приложений?

      Тестирование мобильных приложений снижает риски, тестирует потенциальные уязвимости и проверяет программное обеспечение, чтобы убедиться, что приложение безопасно и соответствует требованиям безопасности.

      Эксперты по кибербезопасности используют различные тесты и стратегии для мониторинга уязвимостей, чтобы оценить безопасность мобильного приложения.

      Тестирование безопасности мобильных приложений требует передовых знаний и ресурсов.

      Эксперты по безопасности часто создают реалистичные кибератаки для выявления потенциальных рисков.

      Они проверяют не только мобильное приложение, но и всю внутреннюю систему, поддерживающую инфраструктуру и API.

      Тестирование проникновения мобильных приложений: найдите свои уязвимости

      Тесты на проникновение являются важной процедурой безопасности для тестирования мобильных приложений.

      Хотя сканирование уязвимостей направлено на тестирование известных уязвимостей, аналитики безопасности используют тесты на проникновение, чтобы найти любую потенциальную уязвимость, будь то плохие настройки безопасности, незашифрованные пароли или неизвестный недостаток.

      Подражая привычкам субъектов угроз, аналитики могут предвидеть стратегии киберпреступников и создать протокол безопасности, который на шаг впереди плохих парней.

      Профессионалы должны выполнять тесты на проникновение, по крайней мере, один или два раза в год, так как стратегии атак кибербезопасности постоянно развиваются.

      Аналитики безопасности часто используют два типа тестов на проникновение: тесты black box и white box.

      1. Тестирование white box (статическое тестирование безопасности приложений)

      Тестирование white box, также известного как статическое тестирование безопасности приложений (SAST), направлено на тестирование безопасности мобильного приложения с точки зрения осведомленного злоумышленника.

      Аналитики безопасности пытаются получить как можно больше информации о конкретном мобильном приложении и сети перед выполнением теста.

      Специалисты по безопасности будут проводить атаки на основе их понимания.

      Тестирование white box занимает меньше времени, чем тестирование black box , потому что оно использует предыдущие исследования безопасности для руководства смоделированными атаками; однако, это не так реалистично.

      2. Тестирование black box

      Тестирование black box имитирует, как неосведомленный злоумышленник попытается использовать уязвимости.

      Специалисты по безопасности внедряют различные угрозы для анализа уровня безопасности мобильного приложения.

      Хотя они имитируют более реалистичную атаку, чем атака white box, специалисты по кибербезопасности могут не иметь возможности протестировать некоторые уязвимости из-за недостатка информации о конкретном приложении.

      Консультанты Secureworks® объединяют аспекты этих методов при проведении мобильного тестирования.

      Комбинируя подход информированного злоумышленника с методами тестирования черного ящика, консультанты могут эффективно тестировать компоненты мобильной среды за меньшее время, чем один только black box тест.

      Аудит защищенности мобильных приложений

      Руководитель направления информационной безопасности

      +7 (495) 974-22-74 доб.6424

      Системы аудита безопасности мобильных приложений предлагают комплексную проверку программного обеспечения, в первую очередь ориентированного на предоставление дистанционных услуг пользователям: проверка от серверной части до мобильных и веб-приложений.Они оперативно обнаруживают уязвимости на этапе разработки ПО, усиливая качество взаимодействия команд разработки и безопасности для выявления угроз безопасности и снижения рисков, связанных с программным обеспечением, а также сокращения затрат и времени на разработку.

      Системы способны приоритизировать уязвимости по их серьезности и важности и предоставлять рекомендации по их устранению. Использование таких систем ведет к сокращению рисков за счет обнаружения наиболее опасных уязвимостей. В результате удаётся снизить затраты на поиск и устранение уязвимостей в приложениях, а также заложить основу для лучших практик безопасного программирования.

      Остались вопросы?

      Напишите нам, и эксперты направления информационной безопасности подберут решение под ваш запрос

      Компетенции КРОК подтверждены международными стандартами

      Статьи и публикации

      Как обеспечить безопасность мобильного банкинга?

      Современные смартфоны и планшеты очень далеко шагнули от обычных сотовых телефонов, основная задача которых — звонить. Это уже практически те же компьютеры, но только компактные и оснащённые собственным каналом связи. О том, каковы основные отличия и уязвимости мобильных платформ, мы беседуем с экспертами и участниками рынка: Андреем Алексахиным, начальником управления по развитию мобильных сервисов Альфа-Банка, Павелом Есаковым, заместителем директора по продажам в финансовом секторе компании Computel, Андреем Луцковичем, директором компании «Фродекс», разработчиком системы антифрода «FraudWall», Василием Жиловым, директором департамента по работе с финансовыми институтами SAP СНГ, Александром Белоглинцевым, менеджером по маркетингу клиентских продуктов компании «Dell Россия» и Микаэлом Караманянцем, Председателем Гильдии информационных технологий и цифровых коммуникаций, главой комитета стандартизации и спецификации АИР, директором по развитию компании web-classic.

      — Отличается ли, по вашему мнению, спектр угроз информационной безопасности мобильного банковского приложения от основных угроз обычным системам дистанционного банковского обслуживания? Какие дополнительные угрозы характерны для доступа к банковскому обслуживанию с мобильных устройств?

      Андрей Алексахин: Сточки зрения безопасности у мобильных устройств есть дополнительный риск — мобильный телефон можно потерять, его могут украсть, что налагает определённые ограничения на системы безопасности. Например, сложнее обеспечить разделение каналов доставки одноразовых паролей — в случае обычного интернет-банка операция осуществляется на компьютере, а пароль приходит на телефон; в случае использования мобильного приложения приходится использовать дополнительные средства.

      Василий Жилов: На мой взгляд, спектр угроз практически не отличается, кроме той детали, что мобильное банковское обслуживание вносит новые опасности в тот список, который уже есть. Но при этом раз и навсегда может решить некоторые аспекты в безопасности, которые с трудом решались в системах дистанционного банковского обслуживания. Если коротко, то мобильные приложения подвержены атакам на самом устройстве, что отличает их от ДБО, так как там всё происходит на сервере банка, а клиент видит только визуальное отображение происходящего.

      Второе отличие мобильных приложений — они должны работать на совершенно различных операционных системах телефонов. Для того, чтобы сделать такую кроссплатформенность для ДБО на web потребовалось почти 10 лет, а мобильным приложениям нужно пройти этот путь буквально за месяцы.

      Но, стоит заметить, что многие угрозы в стандартном ДБО уже решены для мобильных приложений. Таким примером может быть авторизация пользователя на действия, которая будет работать не по стандартным sms-паролям, а по push-паролям, что позволяет верифицировать не только самого человека, но и конкретно приложение, которое просит эту авторизацию — соответственно мы защищаем пользователя от перехвата этой информации.

      Павел Есаков: Я согласен с тем, что спектр угроз информационной безопасности для мобильного банковского приложения в целом совпадает с аналогичным спектром угроз для ставших уже привычными пользователям каналами дистанционного банковского обслуживания. И это не удивительно, поскольку задача мошенника неизменна — получить доступ к счёту клиента и попытаться вывести деньги в такое место, где злоумышленник получит возможность распоряжаться ими бесконтрольно — чаще всего получить наличные деньги, которые практически исключают возможность контроля. К сожалению, использование мобильных устройств создаёт дополнительные риски в силу ряда обстоятельств. Прежде всего, у большинства пользователей мобильных устройств отсутствуют антивирусы. Полный контроль над мобильным устройством находится у его владельца. Это позволяет клиенту осуществить jailbreak или rootkit и установить любое приложение. Владелец телефона может использовать sms OTP в качестве средства подтверждения операций, что несёт более существенные риски, так как устройство доступа к счёту и устройство, принимающее одноразовый пароль являются единым устройством, и риск похищения такого пароля-подтверждения резко возрастает. Кроме того, практически отсутствуют какие-либо нескомпрометированные механизмы подтверждения транзакций в мобильных приложениях. Разработчики объясняют это тем, что мошенничество в мобильном канале отсутствует. И это соответствует текущему положению вещей, поскольку объём операций в мобильных каналах слишком мал, а лимиты на размер транзакций невелики по сравнению с традиционными каналами доступа, что делает мобильные сервисы не слишком привлекательными для мошенников. И наконец, существует возможность установки приложений без ведома клиента оператором мобильной связи через механизм SIM toolkit.

      Микаэл Караманянц: Я считаю, что спектр угроз отличается ещё и в зависимости от операционной системы, под которую разработано мобильное приложение. У каждой операционной системы есть свои особенности и недостатки, которые должен знать опытный разработчик. Если не брать во внимание кражу и утерю мобильных устройств, то в основном это стандартный набор: при разработке не скрывается критическая информация; запись критической информации в лог-файл; уязвимости к XSS; уязвимости к ХХЕ; некорректная работа SSL.

      Важно, чтобы приложение было разработано и протестировано в соответствии с известными стандартами безопасности. На текущий момент Гильдия информационных технологий и цифровых коммуникаций планирует сертификацию компаний разработчиков в этой области.

      Александр Белоглинцев: Разработчику банковского приложения для мобильных платформ вряд ли приходится рассчитывать даже на элементарные меры защиты информации на устройствах пользователей. При создании клиентского приложения для мобильных платформ стоит учитывать их разнородность, стараясь помещать приложение в изолированную среду (sandbox), храня данные на стороне дата-центра.

      — Какие угрозы таят в себе сами мобильные платформы? Насколько они безопасны и надёжны по сравнению с десктопными?

      Андрей Алексахин: С точки зрения именно работы приложения, на мой взгляд, отличий нет — везде используется интернет. Но вот мобильный телефон можно потерять или его могут украсть .

      Микаэл Караманянц: Рынок мобильных приложений находится в активной фазе развития. Очевидно, что сейчас не так много компаний, которые в действительности могут создавать приложения принимая во внимание все аспекты безопасности любой финансовой организации. Но и при качественной разработке мобильные приложения не менее безопасны.

      Павел Есаков: По моему мнению, мобильные платформы создавались без особого внимания к информационной безопасности. Темпы развития платформ были очень высокими, и основное внимание уделялось каким угодно параметрам, но никак не безопасности. Безопасность была существенна только для шифрования голосового трафика. И здесь в распоряжении разработчика имеются все необходимые аппаратные средства и механизмы для качественного шифрования. Но этим внимание к вопросам безопасности и ограничивалось. Ведь основным назначением устройства считалось обеспечение мобильной связи, а передача данных была дополнительной опцией.

      В настоящий момент устройства мобильной связи поколения 3G имеют в своем составе оборудование, которое позволяет создать доверенную среду на мобильном устройстве, а SIM-карта телефона может хранить необходимые для подтверждения финансовых операций секреты. Но имеющийся потенциал крайне трудно реализовать, поскольку компоненты решения требуют согласованных действий многих участников: банка, оператора сотовой связи, разработчика операционной системы телефона, разработчика мобильного банковского приложения, производителя телефона (в случае со встроенным элементом безопасности embedded SE).

      Василий Жилов: Вопрос безопасности мобильных платформ непростой и имеет два аспекта. Во-первых, современные угрозы для мобильных ОС, которые растут с каждым днём и совершенно разнятся для программных платформ, я имею в виду iOS, Android, Windows. Основная, на мой взгляд, угроза мобильных платформ в их разнообразии и изменчивом нраве, не позволяющем предугадать ход их развития более чем на несколько месяцев. А отсюда следует, что приложение также должно динамично меняться. Во-вторых, мы пытаемся сравнивать безопасности десктопных версий и мобильных, но здесь подводный камень заключается именно в том, что большинство угроз, на которые обращают внимание специалисты безопасности, просто не могут «работать» на мобильных ОС.

      В целом мобильные платформы на сегодняшний день более безопасны, так как в основном их архитектура закрыта, а обновления безопасности доставляются оперативнее и чаще. Просто вспомните, сколько компьютеров всё ещё работают под ХР и сравните его с процентом не обновленных iOS устройств.

      Андрей Луцкович: Спектр угроз информационной безопасности мобильного банковского приложения, на мой взгляд, идентичен. Другое дело, что владельцы телефонов не всегда осознают угрозы, сидя за компьютером, тем более при использовании телефона. Соглашусь, что мобильные технологии переживают бурный рост. Но не меньший прогресс также наблюдается и со стороны кибермошенничества, связанный с мобильными технологиями. Достаточно посмотреть отчёты антивирусных компаний, тренд прошлого и текущего года — это создание вирусов под мобильные платформы. Написание вирусов под Android бьёт все рекорды. На нем больше потенциальных жертв сидит. Но и все остальные платформы не обделены вниманием. А фантазиям реализации атак просто нет предела. Заразу можно скачать как из магазина приложений, так и получить ссылку по SMS, причём от доверенного контакта, который так же мог получить её при подключении к компьютеру. Ещё остаются не-рассмотренными WiFi и bluetooth. Угрозы всё те же, а вот возможностей больше.

      — Насколько серьёзны угрозы информационной безопасности при утере (краже) мобильного устройства с установленным банковским приложением? Как их можно уменьшить?

      Микаэл Караманянц: Да, есть такая угроза, если некоторые критические данные записываются в лог-файлы или разработчики не скрыли критическую информацию при разработке.

      Андрей Алексахин: Напомню, что для доступа в приложение требуется логин и пароль. Для удобства клиентов мы сделали так, чтобы логин «запоминался» приложением — но в целях безопасности он частично находится в замаскированном виде.

      Пароль в приложении, разумеется, не хранится. Кроме того, для операций с повышенным риском (переводы в другой банк и т.п.) требуется ввод одноразового sms-пароля, который направляется банком на ту sim-карту, информация о принадлежности которой клиенту есть в банке.

      Павел Есаков: В настоящий момент угрозы ИБ можно было бы считать несущественными, ибо малый объём средств, циркулирующих в канале, не может привлечь внимание мошенников — есть более доходный бизнес. Но с ростом объёмов средств, циркулирующих в данном канале ДБО, возникнет и интерес, а отсутствие во многих мобильных решениях какого-либо механизма защиты существенно увеличивает риски. К сожалению, разработчики мобильных приложений не учитывают тот факт, что «прикрутить» механизмы обеспечения безопасности быстро и безопасно не получится. Уменьшить риски можно только одним способом — уже на этапе разработки мобильного приложения встраивать механизмы, обеспечивающие защиту мобильного приложения и механизма подтверждения транзакций. И в качестве профилактической меры — немедленное уведомление банка с целью блокировки данного канала при утрате мобильного устройства клиентом.

      Василий Жилов: Вы затронули поистине больную тему для мобильного мира безопасности. Пожалуй, в данный момент это самая серьёзная угроза, которая грозит банковским приложениям, так как её не в состоянии контролировать 90% банков.

      Самый простой и доступный способ уменьшения этого рода опасности — авторизация пользователя не только по его паролю в приложении, но и по платёжному паролю на операции (прошу не путать с паролем, высылаемым в sms-сообщении). Такой пароль убережёт пользователя от того, что его устройство с его sim-картой, а значит, и номером телефона, оказалось у злоумышленника.

      Также не стоит верить в варианты с IVR (interactive voice response) и подобными функциями, так как они просто неудобны пользователю, и могут быть применены только при операциях с большими суммами.

      Есть ещё 10% банков, которые уже полностью решили эту проблему. В большей степени это мобильные банковские клиенты для частных предпринимателей и юридических лиц, так как для них безопасность их средств на первом месте. Возможно, вы будете удивлены, но мобильное приложение имеет возможность контролировать настройки устройства, если пользователь ему это разрешит, поэтому некоторые приложения у банков умеют принудительно заставлять пользователя создать пароль на вход в их устройство, причём пароли зачастую сложны, а не стандартные «1234» или год рождения.

      Также, такие приложения умеют рапортовать о состоянии устройства и принимать решения о безопасности самостоятельно. В качестве примера — удаление приложения или его данных при взломе устройства или неправильном вводе пароля определённое число раз.

      — Почему так работают не все приложения для ДБО?

      Василий Жилов: Удобство использования их устройства часто ставится выше, чем безопасность денежных средств.

      Александр Белоглинцев: Степень угрозы зависит, отчасти, от возможностей мобильной платформы по отслеживанию и удалённой блокировке потерянных устройств. Хорошей практикой является выполнение максимального функционала приложения на серверной стороне, оставляя мобильному приложению роль клиента, связывающегося с сервером по защищённому каналу с применением двухфакторной авторизации на входе. Благодаря распространению технологии NFC в современных мобильных устройствах, авторизацию по защищённой NFC метке можно рассматривать как способ дополнительной защиты от несанкционированного доступа, особенно на случай кражи мобильного устройства.

      Андрей Луцкович: Прогресс предлагает решение — так называемую «кнопку смерти». Если владелец мобильного устройства обнаружил пропажу, он сможет заблокировать удалённо устройство и стереть все данные. Сейчас уже практически все производители планируют реализацию подобного функционала. Статистика по кражам iPhone после реализации такой функции очень показательна. Но! Всегда есть «но». Появились атаки на сам механизм реализации, позволяющий шантажировать владельцев телефонов. Сначала устройство блокируется, потом угрозой стирания данных и невозможностью использования вымогаются деньги. Нет худа без добра!

      — Насколько существенно возрастают угрозы из-за частого использования приложений мобильного банкинга в недоверенной сети?
      Какие средства помогают снизить вероятность их реализации?

      Павел Есаков: Использование бесплатных публичных точек доступа (Wi-Fi) значительно увеличивает риски при проведении банковских операций с использованием мобильных устройств. Ведь мошеннику не составит большого труда организовать такую точку в любом месте. Подключаясь к недоверенной точке доступа, клиент банка даёт возможность злоумышленнику проконтролировать весь свой трафик. Помочь можно только одним — по возможности избегать проведения своих финансовых транзакций с использованием неизвестных вам точек доступа.

      Василий Жилов: Ответ очень прост: де факта все сети, кроме самой сети банка, — недоверенные. Соответственно, разрабатывая или выбирая мобильное приложение, банки изначально закладывают высокие требования по этому критерию (наверное, не все, но подавляющее большинство). Снизить риски можно, используя защищённые каналы и методы коммуникации, противостоящие атаке типа -человек посередине» (Man in the Middle, MitM), либо использовать шифрование канала передачи данных.

      Микаэл Караманянц: Да, при использовании неизвестной сети можно стать жертвой MitM-атаки. Это подтверждает статистика. Всё зависит от того, насколько качественно был реализован протокол синхронизации данных.

      Но и у этой проблемы решение есть. Для конкретного проекта рекомендуется разработка частного алгоритма защиты данных. Однако из-за невозможности протестировать и отладить его на 100% данный метод не рекомендуется использовать компаниям, у которых нет соответствующих ресурсов. Но ведь можно использовать известные методы защиты SSLMLS. А когда данные вопросы проработаны на качественном уровне, все риски минимальны.

      Андрей Луцкович: Напомню, что деньги любят тишину. Обычно никто не стремиться совершать операции финансового характера в публичных местах. Однако современная привычка «быть на связи» притупляет чувства естественной предосторожности. Надо говорить прямо: использование публичных точек wifi-доступа — это серьёзный риск. Сейчас очень популярно нахождение в таких местах ничем не выделяющихся «ребятишек с рюкзачками», в которых на аккумуляторе работает точка доступа, внушающая, что она и есть та самая, к которой надо цепляться. Все что перехвачено, потом продаётся достаточно дёшево тем, кто знает, что дальше с этим делать.

      — Насколько серьёзна для мобильных устройств MitM-атака? Какими средствами можно исключить возможности её успешной реализации? Можно ли это сделать исключительно программным или аппаратным (техническим) способом или необходимо применять специальные организационные мероприятия?

      Андрей Алексахин: Опасность есть, но не очень большая. Как показывает практика, этот вид атаки сложно предотвратить исключительно техническими средствами, требуются огранизационнорегламентные мероприятия, а также обучение клиентов основам безопасности.

      Павел Есаков: Атака «человек посредине» в настоящее время является наиболее распространённой угрозой для существующих каналов ДБО, и очевидно, именно она и будет таковой для мобильного банкинга. К счастью, статистики атак на мобильный банкинг в России не имеется, по крайней мере, это вытекает из заявлений многочисленных разработчиков мобильных приложений и тех банков, которые уже используют мобильные банковские приложения. Но не приходится сомневаться, что увеличение популярности данного канала ДБО приведёт к росту оборотов в канале, а это, несомненно, сделает мобильный банк ещё одним объектом внимания мошенников. Риск для банков особенно велик в силу того, что в настоящий момент подавляющее большинство решений вообще не имеет каких-либо механизмов защиты.

      Можно ли предотвратить MitM атаку? — Нет, но можно создать решение, которое будет защищено от таких атак, и это действительно приведёт к их прекращению. Для этого можно воспользоваться автономными персональными кардридерами EMV САР (в сочетании со стандартными платёжными картами такого же формата). Аналогично полностью решают проблему и токены с возможностью «макирования» транзакций. Но данные устройства крайне затруднительно использовать в мобильных приложениях — увы, у человека всего две руки. Как только будет решена проблема создания доверенной среды на мобильном телефоне, то можно будет ожидать и появления мобильных решений, которые обеспечивают аналогичный уровень защиты от атак этого типа.

      Микаэл Караманянц: MitM-атаки набирают обороты. Оценить масштаб проблемы в полном объёме и выразить её в цифрах сложно, но очевидно, что мы имеем дело с серьёзным соперником.

      Самой главной профилактикой «MitM» атаки является качественная защита канала связи. Так же можно применять дополнительные средства защиты, такие как SSL pinning и двухфакторную аутентификацию.

      Василий Жилов: Да, такой род атак довольно серьёзен как для мобильных приложений в сфере ДБО, так и для web-версий. Различаются лишь способы такой атаки, и здесь мобильное приложение немного выигрывает перед он-лайн версией, так как о многих аспектах уже позаботились создатели операционных систем устройства. Но никогда не бывает такого, чтобы на эту защиту полагались на 100%, всегда есть дополнительные способы защиты, и, я думаю, вы знаете, почему.

      О средствах защиты от подобных атак я уже рассказал, если собрать все воедино, то можно сделать короткий список технологий «успеха»: это одноразовые пароли для авторизации или генерирования ключа защиты канала, и обязательно не только по одному каналу связи (sms. Push, USSD); использование шифрования канала или передаваемых данных, в зависимости от ситуации; и специализированные средства в особых ситуациях. Проблема разнообразия технологий в банковской и мобильной сферах сыграла на руку безопасности, так как чтобы подготовить атаку на то или иное приложение или клиента банка не может быть шаблона, как например, при атаках через web, и злоумышленникам приходится каждый раз изобретать что-то новое, что конечно делает MitM менее опасной, чем это было раньше.

      Данная атака зачастую не является только лишь аппаратной, как к этому привыкло большинство специалистов по безопасности. Всем нам знакомы случаи, когда такого рода атака совершалась непосредственно человеком, получившим доступ к устройству клиента банка. К счастью, большинство из них были неудачны, ведь такие ситуации уже давно описаны в антифрод-системах.

      Андрей Луцкович: Здесь полная аналогия с мошенничеством в традиционных системах банковского обслуживания. В каком-то смысле задача даже упрощается. Как все пути ведут в Рим, так и вся дополнительные информация по аутентификации клиента приходит на одно мобильное устройство. Главное — получить к нему полный доступ. Да, такие атаки достаточно сложны для реализации с технической точки зрения. И разнообразие платформ только всё усложняет. Но уже есть немало примеров в отчётах антивирусных компаний, которые просто поражают сложностью реализации и потраченными усилиями. Противопоставить MitM-атакам можно только совместные усилия по реализации программно-аппаратных средств и проведению организационных мероприятий. Постоянное повышение уровня информированности клиентов и контроль платежей антифрод-системами существенно усложняют жизнь преступникам.

      Алексей Александров, руководитель направления по работе с технологическими партнёрами, компания «Аладдин Р.Д.»:

      Важно понимать, что нынешние смартфоны и планшеты очень далеко шагнули от обычных сотовых телефонов, основная задача которых — звонить. Это уже практически те же компьютеры, но только компактные и оснащённые собственным каналом связи (GPRS, 3G, LTE и т.д.). Основным отличием современного смартфона от компьютеров и ноутбуков является интерфейс взаимодействия — сенсорный экран. Поэтому можно с уверенностью утверждать, что мобильные устройства подвержены большинству тех же атак, что и персональные компьютеры.

      При работе с конфиденциальной информацией, к которой относятся и финансовые операции, нужно точно также защищать информацию как на мобильном устройстве, так и во время её передачи по каналам связи. Однако тут есть и свои особенности. Вероятность утери или кражи мобильного устройства намного выше, чем персонального компьютера или ноутбука. Следовательно, очень важно иметь возможность аутентифицировать пользователя этого устройства как при работе с локальными данными, так и при подключении к информационной или платёжной системе (например, системе ДБО).

      Эти угрозы понятны, и на рынке имеются решения по обеспечению безопасной работы с системами ДБО с мобильных устройств.

      Мы рекомендуем использовать смарт-карты с аппаратной реализацией криптографических алгоритмов для решения следующих задач.

    • Аутентификация пользователя в мобильном приложении и зашита локальных данных приложения. Это позволит исключить несанкционированный доступ к локальным данным приложения, что актуально в случае утери или кражи устройства.
    • Аутентификация пользователя при подключении к системе ДБО с мобильного устройства. Система может точно идентифицировать пользователя и предоставить доступ к информации и операциям.
    • Установка защищённого соединения с сервером. При этом все данные, которые передаются между устройством и сервером, шифруются.
    • Обеспечение доверия и юридической значимости операциям, совершаемым пользователем с мобильного устройства. Это обеспечивается за счёт использования усиленной квалифицированной электронной подписи.
    • Решение компании «Аладдин Р.Д.» JC-Mobile позволяет организовать безопасный доступ к системам и сервисам компании с мобильных устройств и обеспечивает юридическую значимость подписываемых электронных документов и производимых операций. Таким образом на мобильных устройствах становятся доступными следующие функции: строгая взаимная двухфакторная аутентификация, формирование усиленной квалифицированной электронной подписи, безопасное хранение ключей и цифровых сертификатов на отчуждаемом модуле безопасности (смарт-карте или Secure MicroSD-токене).

      Решение позволяет в полной мере использовать возможности JaCarta ГОСТ, которые представляют собой персональное средство формирования усиленной квалифицированной электронной подписи (ЭП) с неизвлекаемым закрытым ключом, выполненное в виде смарт-карты, USB- или Secure MicroSD-токена. (смарт-карты JaCarta ГОСТ обеспечивают аппаратную реализацию российской криптографии, формирование усиленной квалифицированной электронной подписи с неизвлекаемым ключом ЭП, строгую аутентификации) пользователей, безопасное хранение ключей и цифровых сертификатов.

      Кроме этого, JaCarta ГОСТ имеет сертификаты соответствия ФСБ России № СФ/124-2380 и № СФ/121-2270.

      Отдельно отмечу, что решение может использоваться на различных мобильных устройствах под управлением различных мобильных платформ. В состав решения также входят специальные смарт-карт ридеры. Так, если мы имеем дело с платформой Apple iOS или Android, то JaCarta ГОСТ применяется в форм-факторе смарт-карты в комплекте со специальным смарт-карт ридером, подключаемым к мобильному устройству. При этом обеспечиваются следующие преимущества:

    • Отчуждаемость. Смарт-карта JaCarta всегда с собой. При утере или краже мобильного устройства смарт-карта остаётся у владельца.
    • Работа на всех устройствах. Ридер и смарт-карту можно использовать не только в рамках решения JC-Mobile на мобильных устройствах, но и в устройствах на базе Windows, Mac OS, Linux.
    • Одна карта — много функций. Смарт-карта JaCarta может одновременно быть картой для доступа к системам и сервисам, платёжной и совмещать многие другие функции.
    • Компактность. Смарт-карт ридер лёгок и компактен, а смарт-карта легко помещается в обычный кошелёк.
    • Также для устройств, работающих на платформе Android, могут использоваться Secure MicroSD токены JaCarta, которые обеспечивают:

    • Удобство. Не требуются дополнительные аксессуары. Достаточно иметь при себе только мобильное устройство со вставленным Secure МicroSD — токеном.
    • Работа на всех устройствах. Помимо совместимости с мобильными устройствами на базе Android, Secure MicroSD-токен можно использовать на любых устройствах, поддерживающих карты памяти формата MicroSD.
    • Дополнительная flash-память. MicroSD-токен имеет дополнительную память для хранения документов и данных.
    • Использование в М2М-решениях. Возможно использование Secure MicroSD-токена для обмена информацией между машинами (например, об уровне запасов наличности в банкомате, местоположении, температуре, времени).
    • Мобильные приложения

      Мобильные приложения — компьютерная программа, созданная специально для использования в мобильном телефоне, смартфоне или коммуникаторе, которая предназначена для выполнения той или иной задачи.

      Содержание

      Рынок и платформы мобильных приложений

      История

      2020: В России принят стандарт разработки мобильных приложений

      Государство утвердило предварительный стандарт разработки мобильных приложений, говорится в сообщении Росстандарта, опубликованном на сайте ведомства 10 июля 2020 года. Требования носят рекомендательный характер, но, по словам авторов, должны будут стать «ориентиром при разработке». Подробнее здесь.

      2013: PwC о будущем мобильных приложений

      Согласно прогнозу, подготовленному PwC в сентябре 2013 года, следующее поколение инновационных решений в области мобильных технологий будет нацелено на распознавание и моделирование контекстуальной ситуации потребителя. Информация о пользователях по трем основным параметрам – физическое местонахождение, виртуальная и социальная среда – станет основным ресурсом, который позволит создать мобильные приложения и услуги, обладающие кардинально новыми возможностями и способные предсказывать потребительские предпочтения. Мобильные устройства смогут стать поистине цифровыми помощниками.

      Отчет PwC по результатам этапа II «Новые технологические возможности» в рамках исследования «Прогноз инновационного развития в области мобильных технологий» (Mobile Innovations Forecast (MIF) Phase II: New technological capabilities) наглядно демонстрирует, каким образом будут меняться впечатления пользователей с появлением мобильных технологий следующего поколения.

      «Мы вступаем в новую, динамичную фазу развития мобильных технологий, знаменующую переход от ограниченного набора информационных и вычислительных функций к интеллектуальному анализу и рационализации физической, виртуальной и социальной среды пользователей устройств, – отмечает Раман Читкара, руководитель международной практики по оказанию услуг компаниям технологического сектора PwC. – В скором времени мобильные устройства будут способны анализировать и предугадывать человеческие потребности, используя платформы, которые задействуют пользователя, опираясь на информацию, полученную из многочисленных источников. Главная цель этого процесса – создание еще более интуитивных мобильных устройств».

      Как отмечается в отчете PwC, контекстуальный интеллект в мобильных вычислениях сможет получать ситуационную информацию из трех основных источников, включая:

      1) данные об устройстве (например, источник питания, операционная система, хранение данных и т.п.);

      2) данные о физической среде (местонахождение, погода и т.д.);

      3) данные о пользователе (ID, приложения, хранящаяся информация и т.д.).

      Возможности, которыми должны обладать мобильные устройства, сети, приложения и услуги следующего поколения, для того чтобы собирать данные о пользователях из таких источников, как сенсорные датчики на устройствах, переносные компьютеры и электронная экосистема транспондеров на других людях и объектах, и обрабатывать их:

    • локализация и навигация,
    • сенсорные датчики устройств и пользовательские интерфейсы,
    • ID и технологии информационной безопасности,
    • сети и «облака» следующего поколения,
    • мобильные операционные системы.
    • 2000-е: Эпоха коммуникаторов

      К тому времени рынок мобильных устройств сотовой связи стали постепенно завоевывать смартфоны и коммуникаторы. Обладая более широкими возможностями и производительностью, они отличались от обычных мобильных телефонов наличием достаточно развитой операционной системы (Windows Mobile, Symbian OS, RIM, Android, Mac OS), которая является открытой для разработки программного обеспечения сторонними разработчиками, в отличие от программной среды обычных мобильных телефонов, которая закрыта для сторонних разработчиков. При этом стоит отметить, что установка дополнительных приложений позволяет значительно улучшить функциональность смартфонов и коммуникаторов по сравнению с обычными мобильными телефонами. Но, заметим, что каждая конкретная операционная система требует установки соответствующих именно ей приложений, то есть созданных специально для той или иной ОС программ. Например, программу-органайзер созданную для Windows Mobile нельзя установить на ОС Simbian, применяемую в смартфонах Nokia Corporation, или Mac OS (Mobile Touch version) для телефона iPhone от компании Apple.

      К тому же, стоит отметить, что наличие полнофункциональной операционной системы не делает смартфоны и коммуникаторы более привлекательными в глазах большинства пользователей. Современные сотовые телефоны, а точнее модели, относящиеся к средней ценовой категории и выше, зачастую вполне могут справиться со многими задачами. Они могут работать с электронной почтой, просматривать текстовые документы и электронные таблицы, фотографии и видеофайлы.

      Кроме того, экраны целого ряда сотовых телефонов не уступают большинству смартфонов и коммуникаторов, а последние модели оснащаются еще и сенсорными экранами и разъемами для карт памяти. Поэтому сегодня именно владельцы обычных мобильных телефонов составляют большую часть потребителей программных приложений.

      Но с другой стороны, смартфоны в глазах данной категории пользователей выглядят более привлекательными за счет других возможностей, таких как, например, продвинутые мультимедийные функции (более качественная камера, расширенные возможности воспроизведения видеофайлов, улучшенные музыкальные способности), Wi-Fi, GPS и другие.

      Необходимо также понимать, что программы, написанные специально для операционной системы смартфона или коммуникатора, являются полноценными скомпилированными в двоичный код последовательностями низкоуровневых микропроцессорных команд. А в силу того, что во всех смартфонах и коммуникаторах установлены более мощные процессоры, чем в мобильных телефонах, возможности программиста по созданию таких приложений практически не ограничены.

      Специализированные приложения функциональнее, они более рационально использует ресурсы процессора, чем J2ME-программы, основанные на множестве Java-платформ, предназначенных для работы в устройствах с ограниченными ресурсами (ограниченная вычислительная мощность, ограниченный объем памяти, малый размер дисплея, питание от портативной батареи, а также низкоскоростные и недостаточно надежные коммуникационные возможности). Поэтому смартфоны пользуются популярностью среди разработчиков программного обеспечения и энтузиастов.

      1990-е: Эпоха мобильных телефонов

      Отправной точкой для создания мобильных приложений стало появление на мобильном телефоне экрана. Естественно, первое программное обеспечение для телефонов представляло собой встроенные приложения, которые предназначались для выполнения конкретных функций телефона и устанавливались в устройство самими производителями.

      Пожалуй, первым мобильным приложением, помимо ПО, отвечающего непосредственно за работу телефона, стала телефонная книжка — та часть программного обеспечения аппарата, которая упорядочивала контакты пользователя. Сначала в записную книжку можно было занести лишь имя и номер телефона абонента. Но постепенно в данное приложение добавлялись новые функции — помимо имени и телефона, стало возможным занесение адреса, электронной почты и других данных того или иного абонента.

      С появлением возможности обмена короткими текстовыми сообщениями (SMS) в телефон добавилась еще одно приложение, позволяющее писать, редактировать, отправлять небольшие электронные тексты.

      Время появления первого мобильного приложения, установленного на телефон поверх уже имеющегося программного обеспечения, можно отнести к концу 90-х годов прошлого века, когда сотовая связь стала постепенно входить в жизнь миллионов людей во всем мире. Стоит отметить, что к тому времени, производители телефонов уже четко представляли, что софт для «мобильника» — это перспективное направление, как с точки зрения разработки технологий, так и с точки зрения их отдельного коммерческого использования. Тогда в программную оболочку сотовых телефонов, помимо самых необходимых приложений, производители стали устанавливать дополнительное ПО. Как правило, это были различные мультимедийные приложения — небольшие аркадные игры, редакторы рингтонов, калькуляторы, календари и т.д.

      Не отставали и сторонние разработчики, которые предлагали владельцам сотовых телефонов приложения, аналогичные установленным изначально, а также массу другого полезного и иногда бесполезного софта.

      С появлением в 1997 году на рынке сотовой связи технологии WAP, позволяющей выходить в интернет с помощью мобильного телефона, количество программных приложений, как и их разработчиков, стало расти. Дело в том, что теперь поставить на телефон какую-либо программу стало гораздо удобнее и проще, так как ранее установка приложения могла быть осуществима лишь с помощью DATA-кабеля, соединяющего стационарный компьютер или ноутбук с мобильным телефоном. Стоит отметить, что в то время не каждая модель сотового телефона поставлялась в комплекте с DATA-кабелем, что ограничивало использование мобильных приложений.

      Возможность выхода в интернет непосредственно через телефон позволила устанавливать на аппарат различное ПО, а также игры даже тем людям, которые не имели домашнего компьютера. Кроме того, WAP мог функционировать даже на бюджетных телефонах, за счет чего число пользователей мобильных приложений также увеличивалось. Единственным минусом WAP-доступа стала высокая стоимость передачи данных — скачав только несколько программ для телефона, пользователь мог потратить весь свой счет.

      К началу нового тысячелетия началось бурное развитие рынка мобильного контента в целом и мобильных приложений в частности. Как грибы после дождя появляются специализированные сайты по продаже программных продуктов и мультимедийного контента для мобильных телефонов. А появление новых технологий передачи данных с помощью сотовой связи (GPRS, EDGE) позволяет удешевить мобильный интернет-трафик. Пользователи стали в немыслимых количествах скачивать из сети картинки, музыкальные рингтоны, игры, полезные программы и т. д.

      Платные и бесплатные приложения

      Независимо от того, для какого устройства используется та или иная программа, мобильные приложения можно подразделить на платные и бесплатные.

      Бесплатные приложения, как правило, представляют собой достаточно простое ПО с ограниченным набором возможностей. Бесплатный софт зачастую предназначен для решения конкретной задачи (например, просмотр электронной почты). По мнению экспертов организации GetJar, бесплатные приложения в большинстве случаев используются владельцами телефонов непродолжительное время. Одна из причин такого поведения пользователей обусловлена тем, что работать сразу с несколькими открытыми бесплатными приложениями неудобно. Во-первых, это влияет на производительность, а значит и на продолжительность работы аккумулятора устройства. Во-вторых, пользователя просто может раздражать постоянный переход между программами (особенно на аппаратах с сенсорным экраном) и связанная с этим потеря времени.

      Что же касается платных мобильных приложений, то они, наоборот, предлагают пользователю расширенные функциональные возможности для каждого отдельного программного продукта. Например, альтернативный пользовательский интерфейс SPB Mobile Shell для коммуникаторов на базе Windows Mobile предлагает пользователю несколько вариантов управления устройством и его программным обеспечением с помощью одного приложения. Кроме того, разработчики платного мобильного софта, как правило, предлагают возможность обновления ПО.

      Бесплатных приложений для Apple и Google не останется

      Бесплатная модель распространения приложений для смартфонов очень скоро прекратит существование. Об этом рассказал в июле 2017 года руководитель департамента мобильных разработок Artezio (Артезио), автор проекта Cost Track Игорь Есипович. По словам эксперта, на место бесплатной и условно-бесплатной модели придет система ежемесячной подписки, которая на данный момент для многих разработчиков становится приоритетной.

      «Бесплатные и условно-бесплатные приложения зарабатывают своим создателям все меньше и меньше денег», — говорит Есипович. «Если раньше бесплатные приложения хорошо монетизировались за счет рекламы, а условно-бесплатные приносили достаточно прибыли благодаря внутренним покупкам, то сейчас ситуация изменилась и на первое место выходит модель с использованием ежемесячной подписки», — отметил эксперт.

      Немалую роль в росте популярности подписной модели играет политика Apple, которая делает ставку на ежемесячные отчисления, нежели на разовые доходы с продаж.

      «Apple серьезно стимулирует разработчиков на внедрение платных подписок. С продажи контента корпорация получает 30%, а с подписки — только 15%, оставляя 85% разработчику против 70% дохода с продажи как в обычном случае», — сказал глава департамента Artezio.

      Эксперт отмечает, что пока в цифровых магазинах наибольшую прибыль генерируют проекты с условно-бесплатной моделью распространения.

      «Условно-бесплатная модель, вернее модель freemium и premium, пока гораздо лучше работает, чем все остальные. Например, Clash Royal, Clash of Clans, World of Tanks – эти приложения не продаются, в них предусмотрены только встроенные покупки. Игра Mortal Combat несет в себе не менее раскрученный бренд, чем Ubisoft с Assassin’s Creed, но именно в Mortal Combat встроенные покупки гораздо эффективнее», — отмечает Есипович.

      Специалист считает, что со временем условно-бесплатная модель станет непопулярной, а основной доход разработчики будут получать с обновляемой подписки. При этом совершенно бесплатных приложений практически не останется.

      Типы мобильных приложений

      Также мобильные приложения можно подразделить на развлекательные (мультимедийные), коммуникационные, навигационные, справочные и прикладные. К развлекательному мобильному ПО можно отнести проигрыватели аудио- и видеофайлов, просмоторщики изображений и электронных книг, игры. Коммуникационные приложения отвечают за общение пользователя по телефону и SMS, его контакты в электронной почте, ICQ, социальных сетях. К навигационным программам относятся приложения, работающие с системой GPS, электронными картами и географическими координатами. К справочному ПО можно отнести различные словари и энциклопедии, базы данных с возможностью поиска. К прикладным приложениям можно отнести записные книжки, органайзеры, калькулятор, программы для работы с графикой и текстом.

      Безопасность

      Около 90% российских популярных Android-приложений передают личные данные третьим сторонам

      2 октября 2020 года стало известно, что интернет-издание The Bell с помощью сервиса AppCensus и платформы аудита приватности приложений Exodus проанализировало, какие данные обрабатывают и передают популярные Android-приложения в российском Google Play Store, а также какие разрешения они запрашивают у пользователей.

      По результатам, 89 из топ-100 бесплатных приложений отправляют пользовательские данные сторонним платформам. Практически все приложения передают информацию как по зашифрованным, так и по незашифрованным каналам Android Ad ID. Таким образом, это не только позволяет рекламной системе Google легко связать устройство с конкретным пользователем, но также предоставляет доступ третьим лицам к персональной информации пользователей, включая геолокацию. Лидером по количеству каналов передачи данных оказалось приложение «Читай бесплатно» от Litres — 31 канал. «Первый канал», в свою очередь, занимает первое место по числу незашифрованных потоков. Также оказалось, что приложения «Первого канала», телеканала «Россия» и НТВ при передаче данных медиаизмерителю Mediascope используют протокол HTTP вместо более безопасного HTTPS.

      Практически все проанализированные приложения (97 из 100) используют рекламные трекеры, помогающие поисковым системам и соцсетям распознавать конкретный аккаунт и показывать таргетированную рекламу. Наибольшее число трекеров специалисты Exodus обнаружили в популярном сервисе «зацикленных» видео Coub — 30 трекеров.

      Что касается разрешений, то больше всего среди самых популярных приложений Google Play Store их запрашивает VK от Mail.ru Group. Приложения запрашивают 60 различных разрешений, в том числе доступ к геолокации, камере, микрофону, истории звонков и сообщений и данным об устройстве пользователя.

      Согласно данным компании Symantec, 46% всех Andro >[1] .

      Сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств

      24 сентября 2020 года компания «Ростелеком-Солар» к «бархатному сезону» провела сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств: Tinder, Badoo, Loveplanet, Mamba, Фотострана, Topface, ДругВокруг, MyFriends, Galaxy, Знакомства@mail.ru, Teamo и Hitwe. Приложения для анализа были отобраны согласно критерию популярности: количеству скачиваний в Google Play и App Store, а также позиции в различных рейтингах сайтов знакомств. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

      С каждым годом сервисы онлайн-знакомств становятся все более привлекательными как для целевой аудитории, так и для инвесторов. По данным аналитика японского холдинга Nomura Instinet Марка Келли, к 2020 году объём мирового рынка онлайн-знакомств вырастет до $12 млрд. Портал statista.com оценил объем российского рынка онлайн-знакомств в 2017 году в $66 млн. При этом актуальным рыночным трендом был назван переход аудитории на мобильные приложения, доля которых к концу 2020 года, по мнению аналитиков, достигла 60%.

      Неожиданно, по результатам автоматизированного анализа, в Android-версии приложения Знакомства@mail.ru, которое позиционируется создателями как лидер российского рынка сервисов знакомств, была обнаружена высококритичная уязвимость, входящая в международный рейтинг наиболее критичных уязвимостей «OWASP Mobile Top 10 2016». В случае ее успешной эксплуатации злоумышленник может получить доступ к учетной записи пользователя приложения и, соответственно, ко всей незашифрованной информации, которое приложение передает на сервер. Эта и другие уязвимости не позволили Знакомства@mail.ru подняться выше предпоследнего места в списке по уровню защищенности среди приложений с количеством установок более 5 млн (8 из 12-ти исследованных приложений).

      Благодаря уязвимости этого класса хакер может стать обладателем логина и пароля пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио-контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Этот контент может стать компроматом на любого человека, по той или иной причине заинтересовавшего злоумышленника. Эту информацию могут выложить в сеть, как было в случае со скандально известным сайтом знакомств Ashley Madison. Наконец, пользователи часто ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и, например, для доступа в онлайн-банк. Что, в свою очередь, создает уже финансовые риски,

      В целом, по результатам анализа Android-версий cамыми защищенными приложениями знакомств оказались Teamo и Фотострана: общий уровень защищенности обоих приложений равен 3.2 балла из 5.0. Звезды глобального рынка – приложения с количеством установок более 100 млн – Badoo и Tinder продемонстрировали средние показатели уровня защищенности, 2.9 и 2.6 балла соответственно. Наиболее уязвимым оказалось приложение MyFriends (1.9 балла из 5.0).

      В 83% исследованных мобильных приложений знакомств на базе OC-Android ключ шифрования задан в исходном коде. Эта критичная уязвимость может привести к компрометации данных, содержащихся в программе, — как пользовательских, так и системных. Кроме того, все исследованные приложения знакомств на базе Android допускают внутреннюю утечку ценной информации, которой может воспользоваться злоумышленник для разработки плана атаки на приложение. Также все они содержат уязвимость, создающую угрозу выполнения злоумышленником произвольного кода в приложении.

      Что касается iOS-приложений, рассматриваемых в исследовании, сервис знакомств Hitwe содержит наименьшее количество уязвимостей среди всех «яблочных» систем – ему удалось набрать 1.0 балл из 5.0 по общему уровню защищенности. iOS-версии мировых брендов Badoo и Tinder, как и в случае с Android, заняли средние позиции в рейтинге – общий уровень защищенности обоих равен 0.5 балла. Самым небезопасным приложением на базе iOS признан Topface (0.0 балла).

      Все проанализированные iOS-версии содержат слабый алгоритм хеширования, что потенциально может привести к утрате конфиденциальности обрабатываемых ими данных. А более чем в половине из них заложены слабые алгоритмы шифрования, что создает угрозу их взлома методом полного перебора. В целом, iOS-версии мобильных сервисов знакомств содержат на порядок большее количество уязвимостей, чем Android-приложения, что, однако, в некоторой степени компенсируется более высокой защищенностью самой операционной системы.

      Анализ безопасности кода мобильных приложений знакомств осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

      Россия — лидер по киберугрозам для Android

      Россия занимает первое место по числу создаваемых под Android вредоносных программ по данным Eset за первое полугодие 2020 г. При этом 68% уязвимостей являются критически опасными для нормального функционирования устройств на Android либо для безопасности личных данных пользователей. Этот показатель значительно выше прошлого года. Эксперты считают, что количество уязвимостей в разрабатываемых под различные платформы мобильных приложениях будет продолжать расти пропорционально росту объемов разработки.

      Согласно исследованию, наибольшее число вредоносных программ было обнаружено в России (16%), Иране (15%), а также на территории Украины (8%). Эксперты пришли к выводу, что количество уязвимостей Andro >

      Исследователи ESET подчеркнули, что с развитием интернета вещей возрастает необходимость защищать не только ноутбуки и смартфоны, но и все подключенные к сети устройства.

      У 76% мобильных приложений небезопасное хранение данных

      19 июня 2020 года компания Positive Technologies сообщила, что ее эксперты протестировали мобильные приложения для iOS и Android и выяснили, что в большинстве приложений данные хранятся небезопасно, а хакеру редко требуется физический доступ к смартфону жертвы для их кражи.

      По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для обеих платформ примерно одинаков.

      Самой распространенной уязвимостью эксперты назвали небезопасное хранение данных, которое встречается в 76% мобильных приложений: в руках хакеров могут оказаться пароли, финансовая информация, персональные данные и личная переписка.

      Для кражи данных злоумышленникам редко нужен физический доступ к смартфону жертвы: 89% обнаруженных нами уязвимостей могут быть проэксплуатированы с использованием вредоносного ПО. Вероятность заражения увеличивается в разы на устройствах с административными привилегиями (root или jailbreak). Но вредоносное ПО может повышать права самостоятельно. Попав на устройство жертвы, вредонос может запрашивать разрешения на доступ к пользовательским данным, а получив разрешение, передавать данные злоумышленникам. Мы рекомендуем пользователям внимательно относиться к уведомлениям от приложений о запросе доступа к каким-либо функциям или данным. Не стоит предоставлять разрешение на доступ, если есть сомнение в его необходимости для нормального функционирования приложения,

      Как показали результаты исследования, серверные части не менее уязвимы, чем клиентские: 43% имеют низкий или крайне низкий уровень защищенности, при этом 33% содержат критически опасные уязвимости. Среди самых распространенных недостатков высокого уровня риска в серверных частях – недостаточная авторизация и утечка информации.

      2010: Проблема вредоносного ПО для мобильных устройств во многом преувеличена

      Развитие мобильного интернета, безусловно, породило и киберугрозы для владельцев телефонов. Однако, как считают эксперты, во многом проблема вредоносного ПО, специально разработанного для мобильных устройств, во многом преувеличена. Дело в том, что невообразимое количество вирусов для обычных ПК не идет ни в какое сравнение со «считанными» десятками вредоносных программ для мобильных телефонов.

      Например, львиная доля мобильных вирусов писалась для одной из самых распространенных программных платформ Symbian OS для смартфонов и коммуникаторов Nokia Corporation. Однако с появлением в 2006 году следующей версии данной платформы риск заражения стал стремиться к нулю. Одним словом, любая операционная система для «мобильников» старается, как можно эффективнее, обезопасить своего пользователя от возможного «заражения».

      Однако это вовсе не означает, что вирусов для данных устройств совсем не существует. Так, в 2008 году появился один из немногих мобильных вирусов для Symbian OS 9.1 S60 3rd Edition — программа Sexy View, отличительной особенностью которой было то, что она подписана действительным сертификатом безопасности Symbian. Данный вирус производил SMS-рассылку со ссылкой на себя, а целью вируса был сбор конфиденциальной информации о зараженном устройстве (IMEI и т.д.). К тому же, уже известное по предыдущим версиям программных платформ кроссплатформенное приложение FlexiSpy, крадущее личную информацию абонента, существует и для данной версии ОС.

      Чтобы предотвратить «заражение» мобильными вирусами, необходимо узнать как можно больше информации о том приложении, которое пользователь собирается скачать. Для этого можно воспользоваться интернетом, как правило, на различных специализированных форумах имеется информация о вредоносном ПО. Кроме того, можно попробовать связаться с представителями той площадки, откуда планируется скачать программу. В конце концов, можно обратиться к создателям антивирусного ПО.

      Порталы веб-приложений

      Сегодня, помимо независимых инетрнет-площадок для распространения мобильных приложений, собственные подобные ресурсы создают ведущие производители сотовых телефонов, смартфонов и коммуникаторов. Некоторые из них уже имеют или планируют в ближайшем будущем открыть собственную площадку по продаже мобильных приложений. Такие специализированные порталы по распространению мобильного ПО уже имеют производитель телефонов iPhone — компания Apple (App Store), компания Nokia Corporation (OVi), производитель смартфонов Blackberry — компания RIM (BlackBerry App World и Application Center), компания Google (Android Market), компания Sony Ericsson (PlayNow arena) и ряд других. Помимо самих приложений, эти онлайн-ресурсы продают также разнообразный мобильный контент (музыку, видео, картинки, электронные книги и т.д.).

      Инструменты для разработки приложений

      Кроме того, производители мобильных телефонов, смартфонов и коммуникаторов и создатели операционных систем, а также операторы сотовой связи выпускают программные инструменты для создания мобильных приложений. Они предлагаются на основе как открытого, так и закрытого ПО и зачастую предназначены для написания приложений для конкретной операционной системы, что часто означает — для конкретной модели мобильного устройства (например, iPhone, гуглфоны или смартфоны Nokia Corporation).

      Читайте так же:  Залог наследник