НИКИФОРОВ
Владимир Олегович
д.т.н., профессор
doi: 10.17586/2226-1494-2016-16-1-90-95
УДК 004.056.53
(НЕ-) КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ В МОБИЛЬНЫХ ПРИЛОЖЕНИЯХ. ВОЗМОЖНОСТИ КЛИЕНТОВ И ПОЛЬЗОВАТЕЛЕЙ (на англ. яз.)
Читать статью полностью
Ссылка для цитирования: Чемёркин Ю.С., Кузьменко Т.И. (Не-) Конфиденциальность информации в мобильных приложениях. Возможности клиентов и пользователей // Научно-технический вестник информационных технологий, механики и оптики. 2016. Т. 16. № 1. С. 90–95.
Аннотация
Предмет исследования. Представлены результаты исследования кросс-платформенных мобильных приложений. Целью работы явилось создание базы данных (знаний) для принятия решений по их защите. Подобные решения относятся к знаниям о доступных мобильных приложениях и информации о защищенности данных пользователей при хранении, обработке и передаче данных. Исследована защищенность приложений в рамках существующих механизмов безопасности современных мобильных операционных систем. Метод. Предложены модифицированные способы криминалистического подхода и поведенческого анализа при изучении защищенности приватных данных и способов поиска ошибок в реализации механизмов защиты информации, хранимой, обрабатываемой и передаваемой приложениями. Анализ механизмов безопасности рассматривается с позиции простых инструментов и исключает применение специальных криминалистических приемов. Применяемые методы опираются на известные подходы цифровой (компьютерной) криминалистики (анализ памяти, трафика, кода), включая поведенческий анализ, статический и динамический анализ кода приложения. Основные результаты. Показано, что предложенные методы исследования защищенности данных приложений позволяют сделать выводы о фактическом статусе защиты данных с учетом изменений, вносимых разработчиком. Набор знаний о защите приватных данных мобильных приложений позволяет в дальнейшем реализовать недостающие механизмы защиты с целью поддержания информирования о ситуациях, в которых возможно избежать прецедентов утечек данных. Набор фактов знаний о защищенности данных позволяет вводить и использовать числовые характеристики уровня защищенности приложения, категории приложений и т.д. Практическая значимость. Предложенный в рамках криминалистического подхода метод может быть использован для проведения анализа данных приложений в рамках аудиторских работ, реконфигурации EMM-политик и обоснования их введения в эксплуатацию.
Благодарности. Рекомендовано к опубликованию оргкомитетом Международной конференции ISPIT 2015.
Список литературы
Sherman E. Want to Protect Your Emails? Don't Use these 11 Android and iPhone Email Apps. Available at: http://www.cbsnews.com/news/want-to-protect-your-emails-dont-use-these-11-android-and-iphone-email-apps (accessed 07.09.15).
2. Reventlov C. Instagram 3.1.2 For iOS, Plaintext Media Information Disclosure Security Issue. Available at: http://reventlov.com/advisories/instagram-plaintext-media-disclosure-issue (accessed 07.09.15).
3. Wood D. [CVE-2014-0647] Insecure Data Storage of User Data Elements in Starbucks v2.6.1 iOS mobile application. Available at: http://seclists.org/fulldisclosure/2014/Jan/64 (accessed 07.09.15).
4. Fingas R. 1Password to change file formats after key file found to contain unencrypted data. Available at: http://appleinsider.com/articles/15/10/20/1password-to-change-file-formats-after-key-file-found-to-contain-unencrypted-data (accessed 23.09.15).
5. Beekhuis W. Misleading Headline Popularity Rises 200%. Available at: http://timedoctor.org/2015/10/misleading-headlines-popularity-rises-200 (accessed 23.09.15).
6. Ahmad I. Why Do People Uninstall Mobile Apps? Available at: http://www.digitalinformationworld.com/2015/09/infographic-why-mobile-apps-are-being-uninstalled.html (accessed 23.09.15).
7. Unuchek R. Stealing to the Sound of Music. Available at: https://securelist.com/blog/incidents/72458/stealing-to-the-sound-of-music (accessed 07.09.15).
8. Clover J. Malicious App 'InstaAgent' Sends Instagram Passwords to Unknown Server, Posts Spam in Users' Feeds. Available at: http://www.macrumors.com/2015/11/10/malicious-instaagent-instagram-app (accessed 07.09.15).
9. Grachev E. Viber Moved their Servers to Russia. Available at: http://appleapple.top/viber-moved-their-servers-to-russia (accessed 07.09.15).
10. Egele M., Kruegel C., Kirda E., Vigna G. Pios: detecting privacy leaks in ios applications // Proc. 18th Annual Network Distributed System Security Symposium (NDSS’11). San Diego, USA, 2011.
11. Schrittwieser S., Fruehwirt P., Kieseberg P., Leithner M., Mulazzani M., Huber M., Weippl E. Guess who’s texting you? Evaluating the security of smartphone messaging applications // Proc. 19th Annual Network Distributed System Security Symposium (NDSS’12). San Diego, USA, 2012.
12. OWASP Mobile Security Project, OWASP. Available at: https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=M-Security_Testing (accessed 07.09.15).
13. Hoog A., Strzempka K. iPhone and iOS Forensics Investigation, Analysis and Mobile Security for Apple iPhone, iPad and iOS Devices. Waltham: Syngress, 2011. 336 p.
14. Hoog A. Android Forensics: Investigation, Analysis and Mobile Security for Google Android. Waltham: Syngress, 2011. 432 p.
15. Palmer G. A Road Map for Digital Forensic Research (DFRWS). Technical Report DTR-T001-01 Final, Air Force Research Laboratory. Rome, New York, 2001.
16. Chemerkin Y. Mobile Hacking. EMM Limits & Solutions. 2014. Available at: http://www.slideshare.net/EC-Council/hh-yury-chemerkin (accessed 23.09.15).
17. Shankland S. Researchers find data leaks in Instagram, Grindr, OoVoo and more. Available at: http://www.cnet.com/news/researchers-find-data-leaks-in-instagram-grindr-oovoo-and-more (accessed 07.09.15).
18. Muntaha M., Su J., Ahmad F. Another Popular Android Application, Another Leak. Available at: https://www.fireeye.com/blog/threat-research/2015/08/another_popular_andr.html (accessed 07.09.15).
19. Xiao C. iOS and Android Tools for Dynamic Analysis. Available at: http://wiki.secmobi.com/tools:android_dynamic_analysis (accessed 05.09.15).
