Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как сделать защищенный магазин приложений

Как сделать защищенный магазин приложений

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как сделать защищенный магазин приложений

Одной из проблем, связанных с безопасностью мобильных гаджетов, является возможность загрузки непроверенных на безопасность мобильных приложений. С одной стороны, требование проверять разработанные приложения ведет к ограничению разнообразия предлагаемых в “магазине" продуктов и время выхода на “рынок", с другой – предварительная проверка снижает риск заражения конечных устройств типа смартфонов, ресиверов цифрового телевидения, планшетов и т.п., которые могут скачивать приложения и исполняемые модули.
Дмитрий Костров
Заместитель директора центра систем кибербезопасности
ООО “Энвижн Специальные проекты", NVision Group

Многие виды коммуникационных устройств, таких как смартфоны, персональные компьютеры и т.п., могут загружать и выполнять различные приложения. Пользователи могут установить и добавить понравившиеся приложения, что позволяет расширить возможности устройства. Однако при скачивании непроверенной программы они часто загружают приложения, ворующие персональные данные человека, или заражают устройство (например, превращая смартфон в часть бот-сети). Проблема проверки новых (модернизированных) приложений и доверия к ним только усиливается.

Как известно, жизненный цикл приложения состоит из 5 фаз: дизайн/разработка, оценка, установка, обновление и стирание (рис. 1).


При разработке приложений сам разработчик должен продумать вопрос защиты, в том числе защиты самого кода. Для достижения поставленной задачи сами "магазины", где размещаются приложения, должны работать с разработчиками "на короткой ноге" и помогать делать их программы более защищенными. Возможно, разрабатывая пошаговые инструкции. На этапе оценки разработанные приложения рецензируются. Перед размещением в "магазинах" они проверяются на предмет защищенности и отсутствия вирусов и закладок. Фаза установки уже не позволяет проводить подробные исследования по защищенности всех приложений (там идет поток подобных программ).


В этом случае сам пользователь должен позаботиться о безопасности своих гаджетов, устанавливая только проверенные/известные программы. Фаза обновления приложений повторяет процесс проверки обновлений. На фазе удаления программа уничтожается. На рис. 2 можно посмотреть эти процессы.

Рассмотрим эти этапы

Аутентификация разработчика подразумевает под собой проверку его личности (если физическое лицо) и репутации компании. Ревизия получаемой программы уже носит технический характер и проверяет на отсутствие вирусов и других проблемных приложений. Могут применяться специальные программные продукты для конвейерной проверки. Контроль доступа (загрузки) на основе атрибутов может применяться для ограничения распространения программ, например, не предназначенных для молодежи. В случае позднего обнаружения проблем в приложении программа может быть отозвана с гаджета пользователя, в том числе в автоматическом режиме.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014
Посещений: 5034

Приобрести этот номер или подписаться
  Автор

Дмитрий Костров

Дмитрий Костров

Директор по проектам ДТБ КЦ ОАО "МТС

Всего статей:  10

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций