Спецпроекты

Безопасность

Positive Technologies запустит сервис для защиты мобильных приложений от обратной разработки

Positive Technologies анонсировала PT MAZE — первый в России сервис для защиты мобильных приложений от реверс-инжиниринга. Услуга призвана сделать взлом дорогим для злоумышленника и заставить его отказаться от идеи атаковать.

Недостаточная защищенность кода остается одной из самых распространенных проблем современных приложений. Кроме того, в рейтинге OWASP Top 10 эта проблема безопасности переместилась с 10 места в 2014 г. на 7 в 2024. Киберугроза заключается в возможности совершать реверс-инжиниринг, который в руках атакующих становится опасным инструментом взлома мобильного ПО. С его помощью хакеры могут искать уязвимости, создавать клоны приложений, почти не отличимые от оригиналов, похищать интеллектуальную собственность разработчиков, а также атаковать граждан, чтобы украсть деньги или персональные данные.

Сервис PT MAZE сегодня не имеет аналогов на российском рынке, утверждают в Positive Technologies. В его основе — протектор, сочетающий лучшие мировые практики разработки и экспертизу Positive Technologies в исследовании защищенности мобильного ПО. Более 10 лет этичные хакеры Positive Technologies проводили исследования, в том числе по реверс-инжинирингу тысяч приложений, накопив уникальный опыт и знания, как сделать их трудноатакуемыми.

PT MAZE подойдет любой компании, независимо от отраслевой специфики, в бизнес-процессах которой участвуют мобильные приложения. В первую очередь сервис может быть интересен банкам, финтех-компаниям и ритейлерам. На данный момент PT MAZE работает с двумя самыми популярными мобильными ОСAndroid и iOS — и предоставляется с полной сервисной поддержкой Positive Technologies.

«Реверс-инжиниринг невозможно запретить или исключить: хакер всегда сможет модифицировать приложения, читать их память или использовать фрагменты кода на свое усмотрение. Однако можно усложнить этот процесс, обеспечив хорошую защиту кода, — сказал Николай Анисеня, руководитель разработки PT MAZE. — PT MAZE превращает приложение, образно говоря, в непроходимый лабиринт для злоумышленников. Подсчитав денежные, экспертные и временные затраты на успешный взлом, хакеры откажутся от идеи искать из него выход и сместят свой интерес в сторону более легких мишеней. Таким образом, надежная защита кода убережет ваш бизнес от потерь в результате наступления недопустимых событий, связанных с реверс-инжинирингом».

Противодействие реверс-инжинирингу в формате сервисов пока еще слабо распространено в России, прикладных инструментов в отрасли не было, а большинство используемых мер защиты не может быть серьезным препятствием для атакующих. PT MAZE способствует предотвращению реверс-инжиниринга, который может проводиться хакерами для клонирования, модификации, намеренной разблокировки платных или ограничивающих функций, а также для реализации последующих шагов атак на инфраструктуру компании.

«Подавляющее большинство современных приложений — это сложные системы с большой поверхностью для атак. Эти программы, как правило, могут хранить персональные, учетные, платежные данные, поэтому всегда находятся в фокусе внимания атакующих. Защите мобильных приложений должны уделять тщательное внимание как их создатели, так и компании, которые приобрели уже готовое ПО либо заказывали его разработку. В частности, для бизнеса взлом любого сервиса, доступного внешним пользователям, является потенциальной точкой входа в корпоративный периметр, служит плацдармом для последующего развития атак и несет большое количество самых разных рисков», — сказала Ольга Ринглер, руководитель группы исследовательских проектов Positive Technologies.

PT MAZE уже включен в реестр российского программного обеспечения, это позволит пользоваться сервисом в том числе компаниям, которые ограничены в применении иностранного ПО.

Сервис прост в использовании и не требует долгой настройки. Для модификации приложения и применения к нему защитных модeлей PT MAZE необходимо загрузить приложение на сервер, а затем скачать любую из измененных версий с уже встроенными модулями защиты. Чтобы клиенты могли управлять сервисом одной кнопкой, специалисты Positive Technologies заранее подготовили стандартные параметры защиты.

Короткая ссылка