Solar inCode проанализировал уровень защищенности наиболее популярных мессенджеров - управление и мониторинг ИБ Solar Security
29.03.2017

Solar inCode проанализировал уровень защищенности наиболее популярных мессенджеров

к списку новостей

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, представила исследование защищенности мобильных приложений для мгновенного обмена сообщениями.

Для участия в исследовании были выбраны международные популярные бесплатные мобильные приложения для мгновенного обмена сообщениями – Facebook Messenger, QQ International, Signal, Skype, Slack, Telegram, Viber, WeChat и WhatsApp. Каждое приложение рассматривалось в двух реализациях – для мобильных операционных систем iOS и Android. Проверка безопасности осуществлялась автоматически, с помощью российского решения Solar inCode, которое использует методы статического, динамического и интерактивного анализа кода.

Любопытно, что реализации приложений для платформы Android оказались более защищенными по сравнению с реализациями под iOS. Среди проанализированных Android-мессенджеров в тройку наиболее защищенных вошли Signal, Facebook Messenger и Slack. При этом Signal показал очень высокий результат. Отсутствие серьезных уязвимостей позволяет говорить о том, что приложение достаточно безопасно как в части защиты данных пользователей, так и в устойчивости к атакам с помощью троянов или известных эксплойтов. Хорошее качество кода продемонстрировали Facebook Messenger и Slack, который уже получил звание самого быстрорастущего бизнес-приложения в истории.

Лидерами среди iOS-приложений для мгновенного обмена сообщениями стали Facebook Messenger, Viber и Skype. Четвертое место с небольшим отставанием занял Signal. Больше всего уязвимостей обнаружено в мессенджерах QQ International и WeChat, которые представляются наименее защищенными вне зависимости от платформы.

Исследование показало, что все проанализированные приложения содержат уязвимости, которые можно разделить на две группы по возможному способу эксплуатации:

  • Уязвимости, повышающие риски компрометации информации, хранимой на устройстве, – логинов, паролей, переписки и т. д. Как правило, уязвимости такого типа могут быть проэксплуатированы при помощи вредоносного программного обеспечения.
  • Уязвимости, позволяющие проводить атаку Man-in-the-Middle («человек посередине»), в результате которой злоумышленник может получить доступ ко всем данным, пересылаемым через мессенджер. Данная атака может быть успешно реализована, например, при использовании общественного Wi-Fi.

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

«Исследования защищенности мессенджеров проводятся достаточно часто, но все они оценивают мобильные приложения исключительно с точки зрения безопасности передачи пользовательских данных. Мы подошли к вопросу более комплексно – представленное исследование впервые рассматривает всю совокупность угроз – от перехвата данных пользователей до уязвимости приложений к различным типам атак и известным эксплойтам, – рассказывает Даниил Чернов, руководитель направления Solar inCode компании Solar Security. – Результаты автоматического анализа показывают, что большинство мессенджеров содержит те или иные уязвимости. Не все они одинаково легко эксплуатируются, однако мессенджеры, которые позиционируются, в первую очередь, как защищенные, не должны небрежно относиться к любым потенциальным угрозам».

ДРУГИЕ НОВОСТИ

Вышла новая версия анализатора кода Solar inCode c инновационной технологией снижения ложных срабатываний 17.10.2018
Вышла новая версия анализатора кода Solar inCode c инновационной технологией снижения ложных срабатываний

Компания Ростелеком-Solar, национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью, выпустила новую версию решения для контроля защищенности исходного кода приложений. В Solar inCode 2.10 встроен усовершенствованный модуль Fuzzy Logic Engine, который задает новый отраслевой стандарт в области борьбы с ложными срабатываниями. Кроме того, в вышедшей версии запущено бета-тестирование абсолютно нового, полностью переработанного интерфейса решения.


...
Ростелеком-Solar научит бизнес основам кибербезопасности 15.10.2018
Ростелеком-Solar научит бизнес основам кибербезопасности

Компания Ростелеком-Solar, национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью, подключила компанию «Бизнес-Гарант» к сервису по управлению навыками информационной безопасности. «Бизнес-Гарант» одним из первых в Поволжье провел обучение сотрудников практической кибербезопасности на базе платформы Ростелеком-Solar.


...
Компания Ростелеком-Solar представила новую версию IGA-платформы Solar inRights 2.7 02.10.2018
Компания Ростелеком-Solar представила новую версию IGA-платформы Solar inRights 2.7
Компания Ростелеком-Solar, национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью, объявила о выходе следующей версии IGA-платформы (Identity Governance & Administration) Solar inRights. Благодаря новым инструментам, сокращающим ресурсозатраты на внедрение и сопровождение системы, заказчики смогут снизить совокупную стоимость владения системой в среднем в 1,5 раза. ...
Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах