Исследование защищенности мобильных приложений
Всем привет!
Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.
Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:
По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.
С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti
Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.
Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.
Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!
Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!
С наступающим и приятного чтения!
#stingray #report #news #android
Всем привет!
Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.
Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:
По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.
С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti
Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.
Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.
Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!
Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!
С наступающим и приятного чтения!
#stingray #report #news #android
mobile-stingray.ru
Стингрей — платформа автоматизированного анализа защищённости мобильных приложений
Платформа Стингрей Стингрей – платформа автоматизированного анализа защищенности мобильных приложений. Помогаем найти уязвимости, которые не способен обнаружить ни один другой инструмент. Комбинируем и корректируем практики DAST, SAST / BCA, IAST, API ST…
🔥14❤2👍2👏1🏆1
Встреча по результатам нашего отчета о защищенности мобильных приложений
Всем привет!
Надеюсь, что вам понравилось наше исследование, которое мы некоторое время назад опубликовали)
Завтра (27 декабря) в 16:00 по Москве я планирую собрать небольшой вебинар, где расскажу, как мы до этого дошли, как проводили исследование, какие результаты получили и что в них самого интересного.
Ну а после обсудим, какие вещи хотелось бы видеть в следующем году, ну и просто может немного поболтаем) Так что всех приглашаю, кому интересно! Ссылку завтра перед самим мероприятием направлю (когда разберусь, как ее сделать).
Вот примерная программа мини-вебинара:
- Приветственное слово;
- Ключевые тенденции безопасности мобильных приложений в 2022 году;
- Методика и инструменты анализа;
- Оценка уровней критичности и обнаруженные уязвимости;
- Результаты исследования;
- Ответы на вопросы и обсуждение интересных тем.
Всем хорошей недели и до завтра!
#stingray #webinar #newyear
Всем привет!
Надеюсь, что вам понравилось наше исследование, которое мы некоторое время назад опубликовали)
Завтра (27 декабря) в 16:00 по Москве я планирую собрать небольшой вебинар, где расскажу, как мы до этого дошли, как проводили исследование, какие результаты получили и что в них самого интересного.
Ну а после обсудим, какие вещи хотелось бы видеть в следующем году, ну и просто может немного поболтаем) Так что всех приглашаю, кому интересно! Ссылку завтра перед самим мероприятием направлю (когда разберусь, как ее сделать).
Вот примерная программа мини-вебинара:
- Приветственное слово;
- Ключевые тенденции безопасности мобильных приложений в 2022 году;
- Методика и инструменты анализа;
- Оценка уровней критичности и обнаруженные уязвимости;
- Результаты исследования;
- Ответы на вопросы и обсуждение интересных тем.
Всем хорошей недели и до завтра!
#stingray #webinar #newyear
mobile-stingray.ru
Стингрей — платформа автоматизированного анализа защищённости мобильных приложений
Платформа Стингрей Стингрей – платформа автоматизированного анализа защищенности мобильных приложений. Помогаем найти уязвимости, которые не способен обнаружить ни один другой инструмент. Комбинируем и корректируем практики DAST, SAST / BCA, IAST, API ST…
🔥8👏3❤1👍1
Запись вебинара по анализу защищенности Российских приложений
Всем привет!
Как обещал, запись прошедшего во вторник мини-вебинара, посвященного нашему исследованию.
Все, кто хотел присоединиться, но не получилось, можно посмотреть в записи. Ну а на вопросы я в любой момент отвечу :)
С наступающими праздниками!
#webinar #stingray #report
Всем привет!
Как обещал, запись прошедшего во вторник мини-вебинара, посвященного нашему исследованию.
Все, кто хотел присоединиться, но не получилось, можно посмотреть в записи. Ну а на вопросы я в любой момент отвечу :)
С наступающими праздниками!
#webinar #stingray #report
YouTube
Запись вебинара: оценка защищенности мобильных приложений 2022
Запись вебинара, на котором Юрий Шабалин, генеральный директор Стингрей Технолоджиз, специально для подписчиков своего Telegram-канала t.me/mobile_appsec_world рассказал исследовании по оценке защищенности мобильных приложений российских разработчиков.…
🔥4⚡1👍1
Обновление нашего продукта Стигнрей!
Ох, мы наконец-то это сделали и выпустили долгожданный и многострадальный релиз 🥳
На этот раз он получился не менее насыщенный, чем прошлые наши обновления и привнес в себя очень много интересных и полезных вещей.
Если кратко, то мы снова почти полностью переписали одну из частей нашего продукта и наш UI теперь работает безумно быстро, он стал более продуманным и красивым (а еще там появилась темная тема)! 😎
Еще мы научились запускать Appium-скрипты для автоматизации тестирования и это дает намного большую гибкость по работе с приложением во время автоматизированного анализа и возможность переиспользовать наработки QA в тестировании. И наконец, у нас появились полноценные автотесты для iOS-приложений, с записью видео с экрана устройства и полным повторением действий пользователя во время сканирования!
Что касается нашего любимого IAST-анализа, то в Android мы существенно его доработали, улучшили и сделали задел на будущие активные проверки. Результатом этого стало выявление еще большего количества интересных и сложных уязвимостей. А также, мы портировали этот механизм на iOS и планируем в дальнейшем его максимально развивать.
На самом деле, изменений больших и маленьких огромное количество, всего не перечислишь, и за это я хотел сказать огромное спасибо всей команде, которая вкладывается в каждую новую фичу, в каждую строчку кода всей душой! Спасибо парни, вы лучшие! 🥇
Ну и если кому интересно чуть более детально посмотреть, что мы сделали, то небольшое видео с обновлениями доступно на YouTube, а более-менее полный список обновлений на сайте.
Ура!
#stingray #ios #android #release
Ох, мы наконец-то это сделали и выпустили долгожданный и многострадальный релиз 🥳
На этот раз он получился не менее насыщенный, чем прошлые наши обновления и привнес в себя очень много интересных и полезных вещей.
Если кратко, то мы снова почти полностью переписали одну из частей нашего продукта и наш UI теперь работает безумно быстро, он стал более продуманным и красивым (а еще там появилась темная тема)! 😎
Еще мы научились запускать Appium-скрипты для автоматизации тестирования и это дает намного большую гибкость по работе с приложением во время автоматизированного анализа и возможность переиспользовать наработки QA в тестировании. И наконец, у нас появились полноценные автотесты для iOS-приложений, с записью видео с экрана устройства и полным повторением действий пользователя во время сканирования!
Что касается нашего любимого IAST-анализа, то в Android мы существенно его доработали, улучшили и сделали задел на будущие активные проверки. Результатом этого стало выявление еще большего количества интересных и сложных уязвимостей. А также, мы портировали этот механизм на iOS и планируем в дальнейшем его максимально развивать.
На самом деле, изменений больших и маленьких огромное количество, всего не перечислишь, и за это я хотел сказать огромное спасибо всей команде, которая вкладывается в каждую новую фичу, в каждую строчку кода всей душой! Спасибо парни, вы лучшие! 🥇
Ну и если кому интересно чуть более детально посмотреть, что мы сделали, то небольшое видео с обновлениями доступно на YouTube, а более-менее полный список обновлений на сайте.
Ура!
#stingray #ios #android #release
🔥11🎉6👍4
Разбираемся с уязвимостью в Jetpack Navigation
Всем привет!
Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!
Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".
Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))
Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.
А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!
#jetpack #stingray #navigation #issue #research
Всем привет!
Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!
Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".
Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))
Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.
А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!
#jetpack #stingray #navigation #issue #research
👍13❤2👏1