Недавно мы рассказывали про массовый угон аккаунтов популярных мессенджеров — решения F.A.C.C.T. в 2023 году выявили около 1900 фишинговых страниц, предназначенных для кражи учетных записей в мессенджере Telegram, и более 170 — для “угона” аккаунтов в WhatsApp.
Параллельно появились новости про запрет на использование в российских ведомствах и госкомпаниях популярных зарубежных смартфонов и мобильных приложений для передачи конфиденциальных данных.
На этом фоне задача создать продукт, который защищает корпоративные данные настолько хорошо, насколько это вообще возможно, выглядит хотя и злободневной, но немного фантастичной идеей. Возможно ли вообще такое? Оказывается, да.
В 2023 году на российском рынке появился ANWORK — новый отечественный мессенджер, предназначенный для безопасных корпоративных коммуникаций и защищенного обмена данными. Разработчики ПО — компания «Финансовые Инвестиции» — работают на рынке программных средств обеспечения безопасности коммуникаций с 2019 года.
По словам создателей коммуникатора, его особенности — высокоуровневое шифрование на базе криптостойкого протокола Signal (end-to-end encryption) для сообщений, видеозвонков и аудиоконференций. Внедренная в мессенджере обезличенная регистрация, закрытые группы, локальное хранение данных исключительно на устройствах пользователей и автоудаление истории, не позволят злоумышленникам получить через приложение доступ к личным данным, переписке или контактам пользователей. Так ли это?
Когда нужен аудит
Для проверки уровня защищенности мессенджера ANWORK была привлечена команда Департамента аудита и консалтинга компании F.A.C.C.T. Аудиторы провели экспресс-анализ защищенности мобильного приложения на платформах iOS и Android.
В ходе проверки эксперты подтвердили, что приложение надежно защищает дистанционную передачу данных, даже несмотря на некоторые уязвимости среднего и низкого уровня риска, так как их эксплуатация требует наличия у злоумышленника прав суперпользователя и непосредственного физического доступа к устройству.
Иван Король, разработчик ПО ANWORK: “Для команды ANWORK было важно создать продукт, который защищает корпоративные данные настолько хорошо, насколько это вообще возможно. Именно поэтому мы регулярно проходим аудиты защищенности — в прошлом году аналогичную проверку прошла версия решения для конечных пользователей. Разумеется, при проектировании приложения мы, в первую очередь, думали о том, как защитить процессы, неподконтрольные пользователю, оставляя ему возможность самому следить за сохранностью и безопасностью своего телефона. Однако, мы прислушались к мнению аудиторов и провели работу по устранению замечаний. Таким образом, сейчас наше приложение практически достигло того уровня, когда его взлом становится просто бессмысленным — слишком дорогую цену придется заплатить для того, чтобы получить доступ к пользовательским данным”.Пример из отчета о выявленных и исправленных недостатках
Получив от экспертов подробный технический отчет, содержащий информацию о ходе тестирования, описание обнаруженных уязвимостей, а также рекомендации по снижению потенциальных угроз безопасности, разработчики ANWORK оперативно устранили выявленные недостатки.
Александр Соколов, руководитель Департамента аудита и консалтинга компании F.A.C.C.T.: “Проведение регулярного аудита — одно из обязательных условий обеспечения безопасной работы мобильных приложений. Особенно важно проводить исследование защищенности в отношении нового приложения, готового к выходу на рынок. В случае с ANWORK проверка была двухэтапной: сначала мы провели полноценное тестирование приложения и его компонентов, в результате которого были обнаружены некоторые недостатки. После их устранения командой разработчиков мы провели оценку корректности их устранения. Это важный этап, так как именно он позволяет сделать вывод, что уязвимости устранены, а безопасность приложения возросла».
Источник новости: habr.com
