Auditarea securității aplicațiilor mobile

Florin-Mihai Iliescu, CISA, CISSP | Vineri, 5 februarie 2016

Auditarea securității aplicațiilor mobile urmează procesul standard al unui audit informatic descris în Standardul de Audit ISACA, dar presupune o înțelegere corectă a mecanismelor de securitate disponibile pentru a reduce riscurile specifice noilor tehnologii.

Analiza de risc pe care trebuie să se bazeze auditul trebuie să țină cont de factorii de amenințare specifici aplicațiilor mobile.

  • Tehnologii noi – dezvoltarea de aplicații pentru platforme mobile Android, iOS, Windows folosește instrumente mai puțin mature, ce pot ascunde vulnerabilități nedescoperite încă, sau pentru care există experiență limitată din partea dezvoltatorilor în folosirea corectă a mecanismelor de protecție;
  • Termene de livrare – creșterea rapidă a numărului de utilizatori a generat și nevoia de a livra aplicații pentru platformele mobile într-un timp cât mai scurt, acest lucru atrăgând după sine neglijarea unor aspecte de securitate în proiectare și programare;
  • Rețele nesecurizate – platformele mobile folosesc rețele de date aflate în afara zonei de control a utilizatorului, partajate cu alte dispozitive ce pot din punct de vedere tehnic intercepta transferul de date între terminal și server;
  • Subcontractare – dezvoltarea aplicațiilor pentru platforme mobile este foarte probabil să facă obiectul unei subcontractări cu un dezvoltator care are capabilitățile tehnice necesare. Trebuie avute în vedere riscurile specifice subcontractării activității de dezvoltare software, în acest caz.

Auditul aplicației mobile ar trebui să evalueze mecanismele prevăzute pentru gestionarea următoarelor riscuri:

AmenințareRiscProbabilitateImpact
FurtAcces neautorizat la serviciile disponibile pe dispozitivul mobilFoarte ProbabilImpact Mare
FurtAcces neautorizat la datele stocate pe dispozitivul mobilFoarte ProbabilImpact Mare
Interceptare comunicațieDivulgare date transferate între dispozitiv şi serverProbabilImpact Mare
Erori de programareAcces neautorizat la servicii prin eludarea mecanismelor de autorizareProbabilImpact Mare
Erori de programareDivulgare accidentală a datelor cu caracter privatFoarte ProbabilImpact Mare
Atac informaticAcţiuni neautorizateMedieImpact Mediu

Infologica oferă servicii de audit de securitate pentru platforme mobile, precum și teste de penetrare pentru a evalua măsura în care securitatea aplicațiilor poate fi compromisă.