Мобильные приложения на iOS оказались уязвимее, чем на Android

Руководитель продукта AppSec.Sting компании AppSec Solutions, Юрий Шабалин, рассказал о серьезных уязвимостях в приложениях на платформе iOS в рамках Mobile Meetup. Конференция для мобильных разработчиков прошла 10 сентября в Москве.

Эксперт по мобильным приложениям на примерах развенчал теорию о неуязвимости «закрытой» операционной системы, на которой работают популярные «яблочные» гаджеты. По словам Юрия Шабалина, несмотря на закрытый исходный код и жесткий контроль при публикации обновлений в App Store, при сравнении одного и того же приложения на двух платформах, версия для iOS зачастую содержит больше проблем, чем ее Android-аналог.

«Закрытость системы, к сожалению, не синоним безопасности, — рассказал Юрий Шабалин, — свежие таргетированные атаки на приложения iOS — это подтверждают и дают хороший повод не расслабляться и строить «второй контур» безопасности в приложении. Ошибки при разработке и надежда на операционную систему — главные причины проблем. Уязвимым показал себя и кроссплатформенный фреймворк Flutter, который разработчики часто используют для создания приложений на iOS. Так исследование, проведенное AppSec.Sting, показало, что в 9 из 10 приложений встречается хотя бы одна из этих проблем: хранение данных в открытом виде в KeyChain (iOS), отсутствие реакции на изменение биометрических данных и возможность обхода биометрической аутентификации, возможность бесконечно «перебирать» PIN-код».

Среди распространенных проблем эксперт называет опасность компрометации данных в хранилище, где содержатся пароли, токены аутентификации, ключи шифрования. Возможность отключать различные функции на стороне пользователя дает хакерам дополнительные возможности. Так, к примеру, iOS позволяет вручную включить полное доверие к установленному корневому сертификату.