SlideShare uma empresa Scribd logo

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники

Transferir como PPTX, PDF
Advanced monitoring
Advanced monitoring

О защите и уязвимостях данных мобильных приложений популярных в России социальных сетей.

Internet
1 de 15
Анализ защиты мобильных приложений Facebook, ВКонтакте, Instagram, «Одноклассники», LinkedIn
©2016, ОАО «ИнфоТеКС». Мобильные приложения  Широкий сектор доступных возможностей  Онлайн 24х7х365  Большой объём данных  Наличие критичных данных
©2016, ОАО «ИнфоТеКС». Риски мобильных приложений  Динамичный характер приложений  Заброшенные проекты  Исправление ошибок – долго и только для новой версии  Заказная разработка
©2016, ОАО «ИнфоТеКС». (Не-)Защищённость данных  Персонифицирующие данные  Учётные данные  Документы, почта  Прочие данные 2016 NowSecure Mobile Security Report
©2016, ОАО «ИнфоТеКС». Социальные сети
©2016, ОАО «ИнфоТеКС». Соцсети и данные  Адресная книга и профили пользователей  Аналитика  Браузерная информация  Гео, навигация и карты  Данные аккаунта  Данные приложения  Данные устройства  Информация о событиях  Логи  Медиа  Персональная информация  Платежи  Сообщения  Социальная информация  Учетные данные  VK  OK  LinkedIn  Instagram  Facebook К-во лок данных, 98 К-во сетев данных, 148 К-во данных, 246
©2016, ОАО «ИнфоТеКС». Соцсети и данные 0 10 20 30 40 50 60 Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS 24 14 20 13 12 34 19 27 18 30 58 33 47 31 42 К-во данных в iOS-приложениях К-во лок данных К-во сетев данных К-во данных 0 10 20 30 40 50 60 Facebook Android VK Android OK Android LinkedIn Android Instagram Android 23 13 19 12 14 34 19 33 18 30 57 32 52 30 44 К-во данных в Android-приложениях К-во лок данных К-во сетев данных К-во данных
©2016, ОАО «ИнфоТеКС». Соцсети и защищённость 0.00 2.00 4.00 6.00 8.00 10.00 Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS 3.79 4.75 5.08 4.04 5.544.68 2.89 3.67 4.00 3.60 4.31 3.68 4.27 4.02 4.15 Защищённость данных iOS Ср.Локал Ср.Сетев Ср 0.00 1.00 2.00 3.00 4.00 5.00 6.00 7.00 8.00 9.00 10.00 Facebook Android VK Android OK Android LinkedIn Android Instagram Android 3.50 4.73 3.50 3.50 3.50 4.68 2.89 3.64 4.00 3.60 4.20 3.64 3.59 3.80 3.57 Защищённость данных Android Ср.Локал Ср.Сетев Ср
©2016, ОАО «ИнфоТеКС». Facebook iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Аналитика • Данные приложения • Браузерная информация • Учетные данные • Данные устройства • Информация о событиях • Гео, навигация и карты • Медиа • Социальная информация • Уровни защищённости • Браузерная информация – нет защиты • Собственный браузер • Данные приложения – частично защищено от MITM атак (требуется доверенный сертификат). Однако, здесь присутствуют: • Логгируемые данные • Учётные данные (пароли) • Учётные данные (пароли приложений) • История транзакций • Общие данные профиля • Учетные данные (ИД) • Данные карты • Неполные данные карты • Остальные данные – SSL Pinning • Только детальные данные аккаунта были недоступны в резервной копии устройства
©2016, ОАО «ИнфоТеКС». VK iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Данные VK for iPhone частично защищено от MITM атак (требуется доверенный сертификат). Остальные данные VK for iPad и VK for Android– предустановленный сертификат для MITM не требуется • Только медийные данные всех групп были недоступны в резервной копии устройства
©2016, ОАО «ИнфоТеКС». OK iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Аналитика • Данные приложения • Браузерная информация • Учетные данные • Информация о событиях • Логи, Медиа, Сообщения • Платежи • Персональная информация • Уровни защищённости • Медийная информация разных категорий – нет защиты • In-App платежи для iOS – защищены SSL-Pinning со стороны Apple • Остальные данные, вкл. In-App платежи и данные карты частично защищено от MITM атак (требуется доверенный сертификат). • Только медийные и конфиг. данные разных групп были недоступны в резервной копии устройства
©2016, ОАО «ИнфоТеКС». LinkedIn iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Все сетевые данные частично защищены от MITM атак (требуется доверенный сертификат). • Все данные доступны в резервной копии
©2016, ОАО «ИнфоТеКС». Instagram iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Медийные данные разных групп – не защищено • Медийные данные • Медийный стрим • Избранное/Ослеживаемое • Все остальные сетевые данные частично защищены от MITM атак (требуется доверенный сертификат). • Все данные, кроме медийных и логов доступны в резервной копии, в т.ч. ссылки на медийные файлы
©2016, ОАО «ИнфоТеКС». Выводы • 5 популярных приложений • 2 популярные ОС • ~250 данных, из них информация не имеет защиты • Браузерная • Социально-медийная • Медийная • Приложения имеют проблемы с защитой данных всех или отдельных типов • Данные приложений дублируются и одни могут защищены хуже других • За год проверено 700+ приложений • Групп данных 100+, данных 10K+ • Бизнес-логика и механизмы защиты приложений между ОС отличаются • Много данных дублируется • Много данных внутри одного приложения защищается по- разному • В среднем защищённость данных повышается только за счёт механизмов ОС (вклад разработчиков < 50%)
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники

Recomendados

Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recomendados

Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"Expolink
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"Expolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Expolink
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Expolink
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
Прозоров про угрозы BYOD
Прозоров про угрозы BYODПрозоров про угрозы BYOD
Прозоров про угрозы BYODAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...sharbachou
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 
Вартан Минасян, Acronis. РИФ 2014
Вартан Минасян, Acronis. РИФ 2014Вартан Минасян, Acronis. РИФ 2014
Вартан Минасян, Acronis. РИФ 2014Ekaterina Turtseva
 

Mais conteúdo relacionado

Mais procurados

InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"Expolink
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"Expolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Expolink
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Expolink
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...sharbachou
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 

Mais procurados (20)

InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ
 
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасность
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещей
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
 
Прозоров про угрозы BYOD
Прозоров про угрозы BYODПрозоров про угрозы BYOD
Прозоров про угрозы BYOD
 
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
Сергей Горбачёв - Современные угрозы безопасности - выстраиваем иммунную сист...
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 

Semelhante a Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники

Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 
Вартан Минасян, Acronis. РИФ 2014
Вартан Минасян, Acronis. РИФ 2014Вартан Минасян, Acronis. РИФ 2014
Вартан Минасян, Acronis. РИФ 2014Ekaterina Turtseva
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Expolink
 
16 9 масалович а.и.
16 9 масалович а.и.16 9 масалович а.и.
16 9 масалович а.и.journalrubezh
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБAleksey Lukatskiy
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepExpolink
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...Expolink
 
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"Expolink
 
Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...
Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...
Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...Sociality Rocks!
 
Безопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнесаБезопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнесаКРОК
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
Brainkeeper. vizualizacia trafika i analiz riskov
Brainkeeper. vizualizacia trafika i analiz riskovBrainkeeper. vizualizacia trafika i analiz riskov
Brainkeeper. vizualizacia trafika i analiz riskovOlya Borschova
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасностьAndrey Dolinin
 
Безопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаБезопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаКРОК
 
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасностиВадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасностиAvitoTech
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 

Semelhante a Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники (20)

Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
 
Вартан Минасян, Acronis. РИФ 2014
Вартан Минасян, Acronis. РИФ 2014Вартан Минасян, Acronis. РИФ 2014
Вартан Минасян, Acronis. РИФ 2014
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.
 
16 9 масалович а.и.
16 9 масалович а.и.16 9 масалович а.и.
16 9 масалович а.и.
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБ
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-step
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
 
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
 
Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...
Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...
Алексей Терехов, Платформа@Mail.Ru "Социальные игры и приложения в Моем Мире@...
 
Безопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнесаБезопасность каждого шага Вашего мобильного бизнеса
Безопасность каждого шага Вашего мобильного бизнеса
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
Brainkeeper. vizualizacia trafika i analiz riskov
Brainkeeper. vizualizacia trafika i analiz riskovBrainkeeper. vizualizacia trafika i analiz riskov
Brainkeeper. vizualizacia trafika i analiz riskov
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Безопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнесаБезопасность Вашего мобильного бизнеса
Безопасность Вашего мобильного бизнеса
 
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасностиВадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 

Mais de Advanced monitoring

Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.Advanced monitoring
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Advanced monitoring
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Advanced monitoring
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 

Mais de Advanced monitoring (6)

Жизнь без SDL
Жизнь без SDLЖизнь без SDL
Жизнь без SDL
 
Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и Одноклассники

  • 1. Анализ защиты мобильных приложений Facebook, ВКонтакте, Instagram, «Одноклассники», LinkedIn
  • 2. ©2016, ОАО «ИнфоТеКС». Мобильные приложения  Широкий сектор доступных возможностей  Онлайн 24х7х365  Большой объём данных  Наличие критичных данных
  • 3. ©2016, ОАО «ИнфоТеКС». Риски мобильных приложений  Динамичный характер приложений  Заброшенные проекты  Исправление ошибок – долго и только для новой версии  Заказная разработка
  • 4. ©2016, ОАО «ИнфоТеКС». (Не-)Защищённость данных  Персонифицирующие данные  Учётные данные  Документы, почта  Прочие данные 2016 NowSecure Mobile Security Report
  • 6. ©2016, ОАО «ИнфоТеКС». Соцсети и данные  Адресная книга и профили пользователей  Аналитика  Браузерная информация  Гео, навигация и карты  Данные аккаунта  Данные приложения  Данные устройства  Информация о событиях  Логи  Медиа  Персональная информация  Платежи  Сообщения  Социальная информация  Учетные данные  VK  OK  LinkedIn  Instagram  Facebook К-во лок данных, 98 К-во сетев данных, 148 К-во данных, 246
  • 7. ©2016, ОАО «ИнфоТеКС». Соцсети и данные 0 10 20 30 40 50 60 Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS 24 14 20 13 12 34 19 27 18 30 58 33 47 31 42 К-во данных в iOS-приложениях К-во лок данных К-во сетев данных К-во данных 0 10 20 30 40 50 60 Facebook Android VK Android OK Android LinkedIn Android Instagram Android 23 13 19 12 14 34 19 33 18 30 57 32 52 30 44 К-во данных в Android-приложениях К-во лок данных К-во сетев данных К-во данных
  • 8. ©2016, ОАО «ИнфоТеКС». Соцсети и защищённость 0.00 2.00 4.00 6.00 8.00 10.00 Facebook IOS VK IOS OK IOS LinkedIn IOS Instagram IOS 3.79 4.75 5.08 4.04 5.544.68 2.89 3.67 4.00 3.60 4.31 3.68 4.27 4.02 4.15 Защищённость данных iOS Ср.Локал Ср.Сетев Ср 0.00 1.00 2.00 3.00 4.00 5.00 6.00 7.00 8.00 9.00 10.00 Facebook Android VK Android OK Android LinkedIn Android Instagram Android 3.50 4.73 3.50 3.50 3.50 4.68 2.89 3.64 4.00 3.60 4.20 3.64 3.59 3.80 3.57 Защищённость данных Android Ср.Локал Ср.Сетев Ср
  • 9. ©2016, ОАО «ИнфоТеКС». Facebook iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Аналитика • Данные приложения • Браузерная информация • Учетные данные • Данные устройства • Информация о событиях • Гео, навигация и карты • Медиа • Социальная информация • Уровни защищённости • Браузерная информация – нет защиты • Собственный браузер • Данные приложения – частично защищено от MITM атак (требуется доверенный сертификат). Однако, здесь присутствуют: • Логгируемые данные • Учётные данные (пароли) • Учётные данные (пароли приложений) • История транзакций • Общие данные профиля • Учетные данные (ИД) • Данные карты • Неполные данные карты • Остальные данные – SSL Pinning • Только детальные данные аккаунта были недоступны в резервной копии устройства
  • 10. ©2016, ОАО «ИнфоТеКС». VK iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Данные VK for iPhone частично защищено от MITM атак (требуется доверенный сертификат). Остальные данные VK for iPad и VK for Android– предустановленный сертификат для MITM не требуется • Только медийные данные всех групп были недоступны в резервной копии устройства
  • 11. ©2016, ОАО «ИнфоТеКС». OK iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Аналитика • Данные приложения • Браузерная информация • Учетные данные • Информация о событиях • Логи, Медиа, Сообщения • Платежи • Персональная информация • Уровни защищённости • Медийная информация разных категорий – нет защиты • In-App платежи для iOS – защищены SSL-Pinning со стороны Apple • Остальные данные, вкл. In-App платежи и данные карты частично защищено от MITM атак (требуется доверенный сертификат). • Только медийные и конфиг. данные разных групп были недоступны в резервной копии устройства
  • 12. ©2016, ОАО «ИнфоТеКС». LinkedIn iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Все сетевые данные частично защищены от MITM атак (требуется доверенный сертификат). • Все данные доступны в резервной копии
  • 13. ©2016, ОАО «ИнфоТеКС». Instagram iOS & Android • Группы данных • Данные аккаунта • Адресная книга и профили пользователей • Учетные данные • Медиа • Сообщения • Персональная информация • Социальная информация • Уровни защищённости • Медийные данные разных групп – не защищено • Медийные данные • Медийный стрим • Избранное/Ослеживаемое • Все остальные сетевые данные частично защищены от MITM атак (требуется доверенный сертификат). • Все данные, кроме медийных и логов доступны в резервной копии, в т.ч. ссылки на медийные файлы
  • 14. ©2016, ОАО «ИнфоТеКС». Выводы • 5 популярных приложений • 2 популярные ОС • ~250 данных, из них информация не имеет защиты • Браузерная • Социально-медийная • Медийная • Приложения имеют проблемы с защитой данных всех или отдельных типов • Данные приложений дублируются и одни могут защищены хуже других • За год проверено 700+ приложений • Групп данных 100+, данных 10K+ • Бизнес-логика и механизмы защиты приложений между ОС отличаются • Много данных дублируется • Много данных внутри одного приложения защищается по- разному • В среднем защищённость данных повышается только за счёт механизмов ОС (вклад разработчиков < 50%)