Как сделать защищенный магазин приложений
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Как сделать защищенный магазин приложений
Одной из проблем, связанных с безопасностью мобильных гаджетов, является возможность загрузки непроверенных на безопасность мобильных приложений. С одной стороны, требование проверять разработанные приложения ведет к ограничению разнообразия предлагаемых в “магазине" продуктов и время выхода на “рынок", с другой – предварительная проверка снижает риск заражения конечных устройств типа смартфонов, ресиверов цифрового телевидения, планшетов и т.п., которые могут скачивать приложения и исполняемые модули.
Дмитрий Костров
Заместитель директора центра систем кибербезопасности
ООО “Энвижн Специальные проекты", NVision Group
Заместитель директора центра систем кибербезопасности
ООО “Энвижн Специальные проекты", NVision Group
Многие виды коммуникационных устройств, таких как смартфоны, персональные компьютеры и т.п., могут загружать и выполнять различные приложения. Пользователи могут установить и добавить понравившиеся приложения, что позволяет расширить возможности устройства. Однако при скачивании непроверенной программы они часто загружают приложения, ворующие персональные данные человека, или заражают устройство (например, превращая смартфон в часть бот-сети). Проблема проверки новых (модернизированных) приложений и доверия к ним только усиливается.
Как известно, жизненный цикл приложения состоит из 5 фаз: дизайн/разработка, оценка, установка, обновление и стирание (рис. 1).
При разработке приложений сам разработчик должен продумать вопрос защиты, в том числе защиты самого кода. Для достижения поставленной задачи сами "магазины", где размещаются приложения, должны работать с разработчиками "на короткой ноге" и помогать делать их программы более защищенными. Возможно, разрабатывая пошаговые инструкции. На этапе оценки разработанные приложения рецензируются. Перед размещением в "магазинах" они проверяются на предмет защищенности и отсутствия вирусов и закладок. Фаза установки уже не позволяет проводить подробные исследования по защищенности всех приложений (там идет поток подобных программ).
В этом случае сам пользователь должен позаботиться о безопасности своих гаджетов, устанавливая только проверенные/известные программы. Фаза обновления приложений повторяет процесс проверки обновлений. На фазе удаления программа уничтожается. На рис. 2 можно посмотреть эти процессы.
Рассмотрим эти этапы
Аутентификация разработчика подразумевает под собой проверку его личности (если физическое лицо) и репутации компании. Ревизия получаемой программы уже носит технический характер и проверяет на отсутствие вирусов и других проблемных приложений. Могут применяться специальные программные продукты для конвейерной проверки. Контроль доступа (загрузки) на основе атрибутов может применяться для ограничения распространения программ, например, не предназначенных для молодежи. В случае позднего обнаружения проблем в приложении программа может быть отозвана с гаджета пользователя, в том числе в автоматическом режиме.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014
