Solar inCode проанализировал уровень защищённости наиболее популярных мессенджеров

03.04.2017 18:17

Пресс-релиз компании Solar Security

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, представила исследование защищённости мобильных приложений для мгновенного обмена сообщениями.

Для участия в исследовании были выбраны международные популярные бесплатные мобильные приложения для мгновенного обмена сообщениями - Facebook Messenger, QQ International, Signal, Skype, Slack, Telegram, Viber, WeChat и WhatsApp. Каждое приложение рассматривалось в двух реализациях - для мобильных операционных систем iOS и Android. Проверка безопасности осуществлялась автоматически, с помощью российского решения Solar inCode, которое использует методы статического, динамического и интерактивного анализа кода.

Любопытно, что реализации приложений для платформы Android оказались более защищёнными по сравнению с реализациями под iOS. Среди проанализированных Android-мессенджеров в тройку наиболее защищённых вошли Signal, Facebook Messenger и Slack. При этом Signal показал очень высокий результат. Отсутствие серьезных уязвимостей позволяет говорить о том, что приложение достаточно безопасно как в части защиты данных пользователей, так и в устойчивости к атакам с помощью троянов или известных эксплойтов. Хорошее качество кода продемонстрировали Facebook Messenger и Slack, который уже получил звание самого быстрорастущего бизнес-приложения в истории.

Лидерами среди iOS-приложений для мгновенного обмена сообщениями стали Facebook Messenger, Viber и Skype. Четвертое место с небольшим отставанием занял Signal. Больше всего уязвимостей обнаружено в мессенджерах QQ International и WeChat, которые представляются наименее защищенными вне зависимости от платформы.

Исследование показало, что все проанализированные приложения содержат уязвимости, которые можно разделить на две группы по возможному способу эксплуатации:

уязвимости, повышающие риски компрометации информации, хранимой на устройстве, - логинов, паролей, переписки и т. д. Как правило, уязвимости такого типа могут быть проэксплуатированы при помощи вредоносного программного обеспечения;

уязвимости, позволяющие проводить атаку Man-in-the-Middle ("человек посередине"), в результате которой злоумышленник может получить доступ ко всем данным, пересылаемым через мессенджер. Данная атака может быть успешно реализована, например, при использовании общественного Wi-Fi.

При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.

solarsecurity.ru

Мнение специалиста

Последний вышедший номер

Читайте в номере:

Анализ соответствия человеко-машинного интерфейса автоматизированных рабочих мест персонала блочного пункта управления Ленинградской АЭС-2 современным подходам по проектированию

Многоуровневая оперативная оптимизация технологического режима установок подготовки нефти

Система мониторинга и прогнозирования скорости роста коррозионных повреждений резервуаров для хранения нефти и нефтепродуктов

Применение сетевых моделей в социальных, технических и биологических системах. I. Модели представления знаний

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.