Угрозы и уязвимости мобильных приложений
В современном мире организации и физические лица все больше полагаются на мобильные программные приложения для поддержки своих критически важных деловых инициатив. Это означает, что защищенность мобильных приложений должна быть главным приоритетом стратегии безопасности бизнес – процессов организаций и частных лиц, использующих технологию мобильных транзакций, включая банковскую.

С ростом популярности разработки мобильных приложений, повышается их капиталоёмкость, а вместе с этим и желание злоумышленников перевести эти капиталы на свои счета. Многие современные мобильные программы предполагают внутренние покупки, а также отправку SMS на платные номера, именно эти лазейки могут использовать хакеры. Одно дело, сколько стоит создание мобильного приложения, а другое – сколько будет стоить сделать его безопасным. Механизмов взлома и вытаскивания денег из мобильных устройств чрезвычайно много, каждый год появляются новые алгоритмы, но вместе с тем растёт и сила противодействия, способная своевременно бороться с угрозами. В наименьшей степени этим тенденциям подвержены закрытые системы, в частности IOS, поскольку архитектура её выполнена так, что в ней практически невозможно появление вирусов.

Есть два базовых подхода к управлению мобильными устройствами: использование возможностей сервера обмена сообщениями (часто от того же производителя, что и устройства) или использование стороннего продукта, который разработан для управления несколькими марками устройств. У типичного решения достаточно простая клиент-серверная архитектура. В организации установлен один или несколько серверов, обеспечивающих централизованное управление, а на все мобильные устройства устанавливаются клиенты, которые настраиваются для постоянной работы в фоновом режиме. Если устройство выдано организацией, клиентское приложение обычно управляет конфигурацией и безопасностью всего устройства (режим управления мобильными устройствами, MDM). Если устройство принадлежит сотруднику, то клиентское приложение управляет только конфигурацией и безопасностью самого приложения и корпоративных данных (режим управления мобильными приложениями, MAM). Клиентское приложение и корпоративные данные изолированы от прочих приложений и данных устройства, помогая сохранить конфиденциальность как корпоративных данных, так и личного контента пользователя. Централизованное управление мобильными устройствами может задействовать другие корпоративные службы, такие как доменные службы аутентификации и VPN. Если в организации отсутствует централизованное решение или некоторые мобильные устройства несовместимы с ним, тогда устройствами приходится управлять вручную. Мобильные устройства часто не предоставляют возможности строго настроить средства безопасности, как это делают клиентские приложения централизованных устройств. Например, мобильные устройства часто поддерживают только простой пароль для аутентификации и не поддерживают надежного шифрования хранилища. Это потребует приобретения, установки, настройки и поддержки целого перечня сторонних приложений, чтобы компенсировать недостающий функционал. Управление устройством, физически не находящимся в стенах организации, может оказаться невозможным. Можно установить утилиты для удаленного управления устройствами, но это потребует значительно больше сил для ручного обновления ПО и прочей технической поддержки мобильных устройств, находящихся вне офиса.