На конференции CyberCamp специалист компании AppSec Solutions Юрий Шабалин отметил, что доля мобильного трафика в финтехе и электронной коммерции достигла 70-80%, что сделало этот канал главной целью для киберпреступников. Об этом сообщили в пресс-службе AppSec Solutions.
Активный переход бизнеса в мобильную среду значительно изменил баланс сил в области кибербезопасности. Если ранее главный акцент делался на защиту веб-ресурсов, то теперь основное внимание уделяется смартфонам. Мобильные приложения стали основным инструментом для выполнения повседневных финансовых операций, аккумулируя значительные объемы личных данных пользователей.
«На сегодняшний день мобильное приложение – это не только удобный интерфейс, но и полноценный бизнес-сервис. К сожалению, возможный взлом приложения может обеспечить доступ к пользовательским данным. Проблема усугубляется тем, что приложения функционируют в среде, которую разработчик не может контролировать. Именно поэтому традиционных методов защиты становится недостаточно: безопасность должна быть интегрирована в ДНК продукта на каждом этапе его жизненного цикла – принцип DevSecOps при разработке мобильных приложений особенно важен», – пояснил директор по продукту AppSec.Sting, вендор AppSec Solutions Юрий Шабалин.
Он выделил шесть основных векторов атак на современные мобильные приложения: модификация кода с внедрением вредоносных компонентов; эксплуатация недоверенной среды (Root/Jailbreak, эмуляторы, инструменты динамического анализа); извлечение конфиденциальных данных – API-ключей, токенов, сертификатов; компрометация сессий с перехватом токенов доступа; сетевые угрозы, включая MITM-атаки и уязвимости API; а также риски, связанные с использованием сторонних SDK и зависимостей.
Для уменьшения рисков эксперт предложил системный подход, состоящий из четырех этапов: проведение инвентаризации и оценки рисков с аудитом мобильных активов и внешних библиотек; оперативное устранение наиболее критических уязвимостей; расстановка приоритетов в зависимости от степени влияния на бизнес; и, наконец, внедрение DevSecOps – интеграция практик безопасности в процесс разработки на всех стадиях – от написания кода до выпуска готового решения.
Ранее Google совместно с компаниями iVerify и Lookout выявили критическую уязвимость в операционной системе iOS 18, которая позволяет хакерам получить доступ к перепискам, учетным данным и криптокошелькам пользователей. Эксперты подчеркивают, что уязвимость, получившая название DarkSword, угрожает сотням миллионов iPhone.
Мишустин выделил достижения нейросети «Алиса AI»
