Експерт: "Разработчиците на мобилни устройствa повтарят грешките на миналото"

По време на Enterprise Security 2012, Мартин Рукс от MWR InfoSecurity предупреди за опасността от това, че мобилните приложения страдат от уязвимости в сигурността, които са били разрешени онлайн.

Трудно научени уроци в областа на компютърната сигурност през изминалото десетилетие са сякаш забравени от разработчиците на приложения за смартфоните днес. Това е предупреждението, което Мартин Рукс, технически директор на MWR InfoSecurity отправи на току-що завършилата конференция Enterprise Security 2012 организирана от Information Age.

Рукс се фокусира върху мобилната операциона система на Гугъл Android, като разкри, че много от същите уязвимости, които засягаха уеб-приложенията през изминалите 10 години са се прехвърлили върху приложенията изготвяни за Андроид.

"Уеб-приложенията дълго време бяха засегнати от уязвимости свързани със SQL-injection, и странното е, че на нас ни се налага да се сблъскваме наново с тях. Има достатъчно добри програмисти, които знаят как да намалят рисковете от подобни заплахи и те почват да изчезват от добре разработените уеб-приложения", заявява Рукс.

"Но уязвимостите свързани с SQL-injection са на върха на пирамидата от уязвимости свързващи се с Андроид, понеже въпросните разработчици не разполагат с добри инструменти за справяне с тези уязвимости."

"Мога да ви уверява", продължава специалистът, "че ако едно приложение за Андроид използва SQL-база от данни, то е много вероятно да възникне проблем свързан с инжектиране на код във въпросната база, като тук става въпрос и за приложения, излезли от доставчика на въпросните устройства."

"Лошите практики при разработването на тези приложения е илюстрация за това как изводи, до които ние стигнахме за един период от 10 години бяха пренебрегнати с лека ръка от хора, които се впуснаха бясно в разработкването на тази платформа без да разбират същността на основни детайли в областа на компютърната сигурност."

Според Ръск, Android съвсем не са единствените, които изпитват подобни проблеми. "Инструменти, които са разработени така че да направят смартфоните достатъчно сигурни, за да се използват от бизнеса също имат ред уязвими места, което ги прави несигурни."

Той дава пример с известно мобилно приложение за управление на съдържанието, което той и неговите колеги са открили, че е незащитено. "Въпросният софтуер ви осигурява защитен достъп до конфиденциални документи. То използва шифроване и сендбокс, който се предполага, че запазва сигурна цялата ви информация.", обяснява Ръск. "То отваря документа, обработва го, декриптира го, използвайки ключ и запазва незащитено копие в телефона ви."

"Проблемът се състои в това, че то всъщност дава отдалечен достъп до това некриптирано копие на всяко друго приложение, така че всяко друго приложение на телефона може да "види" въпросното копие. Това не е пример за добър сендбокс" завършва Ръск.

Ръск разказа за това, че от неговата фирма са алармирали производителя на въпросния софтуер, но компанията не е направила нищо по въпроса. Няколко седмици по-късно, по време на тестове за уязвимости по молба на свои клиенти, които са използвали въпросният софтуер, от MWR InfoSecurity са открили същия проблем.

Този път клиента е бил този, който е алармирал въпросният собственик. "И познайте какво? ", пита риторично Ръск. "Оправиха проблема за няколко дена."

Според него, специалистите по сигурността в средите на разработчиците на софтуер за днешните мобилни устройства са твърде малко.