Мобильная безопасность (Вызовы мобильного тестирования - 3)


Обеспечение безопасности данных пользователя всегда вызывало сложности при разработке. Однако для мобильных приложений безопасность — одна из главных проблем. Угрозы безопасности мобильных устройств с годами не изменились. Есть всего два основных пути потери контроля над данными: недостаточная защита при физическом доступе и использование плохо защищённых приложений. Но вот последствия таких потерь стали гораздо серьёзнее.

Мобильные устройства сейчас хранят в себе гораздо больше личной информации, чем персональный компьютер. Помимо фотографий и видеозаписей, на устройстве может содержаться информация о финансах и здоровье пользователя. Например, брокеры используют мобильные телефоны для доступа к бирже, а пациенты всё чаще общаются с врачами через приложения медицинских компаний. Устройство с такими данными, попавшее в чужие руки без должной защиты, может стать причиной значительных репутационных и денежных потерь. При этом нужно учитывать, что на рынке постоянно появляются новые аппаратные способы идентификации пользователя, такие, как авторизация через отпечаток пальца (Touch ID) или по распознаванию лица (Face ID). Разработчикам приложений необходимо поддерживать такие возможности, чтобы быть наравне с конкурентами, но при этом важно не допустить несанкционированного доступа к данным.

Но даже ограничив физический доступ к устройству, нужно не забывать о работающих на нём приложениях. Многие из них запрашивают доступ к местоположению, камере или контактному листу пользователя. При этом зачастую такая информация хранится на устройстве в незашифрованном виде и передаётся на сервера по отрытым каналам. БОльшая часть приложений даже не использует SSL-протокол для передачи. Основные атаки, с которыми сталкиваются пользователи мобильных устройств, это перепаковка обычных приложений с добавлением вредоносного кода, и main-in-the-middle атаки, перехватывающие информацию с телефона. На данный момент существует достаточно немного решений, позволяющих избежать этих атак, и разработчики приложений должны самостоятельно заботиться о безопасности данных пользователя.

Ещё важнее работать над защитой корпоративных устройств и приложений. Работники компании всё чаще могут получить доступ к внутренней информации через мобильные устройства. И если для настольных компьютеров давно существуют стандарты безопасности, позволяющие эффективно работать, то для мобильных устройств такие инструменты ещё только разрабатываются. Учитывая огромную фрагментацию устройств и постоянные обновления различных версий ОС, обеспечить приемлемый уровень корпоративной безопасности становится очень сложно.

С точки зрения тестирования безопасность мобильных приложений - terra incognita, где новые возможности и проблемы появляются быстрее, чем формируются устойчивые практики. Серьёзная работа над тестированием безопасности здесь ещё только начинается. Думаю, нас ждут несколько серьёзных утечек, после которых этот вопрос встанет более остро, и начнётся внедрение так необходимых инструментов.


См также:
Цикл выпуска устройств
Новые типы мобильных устройств
Тестирование вне офиса
Фрагментация
Локализация и интернационализация


Статья написана для учеников курса "Тестирование мобильных приложений".

Комментарии

Популярные сообщения из этого блога

Плохие отзывы на курс и что с ними делать

Testconf 2017: Мастер-класс по мобильному тестированию

SQA Days - 22