В статье рассмотрена проблема обеспечения защищенности мобильных приложений, разработка которых часто осуществляется без привлечения специалистов по ИТ-без-опасности и в отсутствие доступа к специализированной инфраструктуре программной инженерии. Проанализированы возможные причины недостаточной защищенности мобильного программного обеспечения (МО) и применяемые на практике методы безопасной разработки. На основе лучших практик и рекомендаций разработан базовый перечень требований безопасности к функциям нативного мобильного приложения, инфраструктуре и методам его разработки, реализация которых доступна одиночным разработчикам, не имеющим возможности экспертной поддержки процесса разработки мобильного ПО.
Пестунова Тамара Михайловна
Носенко Алексей Владиславович
1. Digital 2023: Global Overview Report. – URL: https://datareportal.com/ reports/digital-2023-global-overview-report (accessed: 05.12.2023).
2. Оценка защищенности мобильных приложений российских разработчиков. Исследование «Стингрей Технолоджиз». – URL: https://stingray-mobile.ru/wp-content/uploads/2022/12/stingray-annual-report-2022.pdf (дата обра-щения: 05.12.2023).
3.??Шишкова Т. Развитие информационных угроз в первом квартале 2022 года. Мобильная статистика. – URL: https://securelist.ru/it-threat-evolution-in-q1-2022-mobile-statistics/105235/ (дата обращения: 05.12.2023).
4. Weir C., Hermann B., Fahl S. From needs to actions to secure apps? The effect of requirements and developer practices on app security // Proceedings of the 29th USENIX Security Symposium. – USENIX Association, 2020. – P. 289–305. – URL: https://www.usenix.org/system/files/sec20-weir.pdf (accessed: 05.12.2023).
5. Weir C., Rashid A., Noble J. How to improve the security skills of mobile app developers? Comparing and contrasting expert views // Proceedings of the 2016 ACM Workshop on Security Information Workers. – USENIX Association, 2016. – URL: https://eprints.lancs.ac.uk/id/eprint/80016/1/SOUPS2016_SIW_ AppDev_CW7June16_submitted.pdf (accessed: 05.12.2023).
6. OWASP. Mobile Top 10 2023: Updates. – URL: https://owasp.org/www-project-mobile-top-10/ (accessed: 05.12.2023).
7. Townsend K. Как смартфоны стали одной из главных целей кибератак. – URL: https://blog.avast.com/ru/smartphones-and-increasing-mobile-threats-avast (дата обращения: 05.12.2023).
8. Михайлова А. Мобильные угрозы и методы борьбы с ними. – URL: https://www.securitylab.ru/analytics/501302.php (дата обращения: 05.12.2023).
9. OWASP. Mobile Application Security. – URL: https://mas.owasp.org/ MASVS/ (accessed: 05.12.2023).
10. Mobile Security Primer. – URL: https://books.nowsecure.com/secure-mobile-development/en/primer/mobile-security.html (accessed: 05.12.2023).
11. Калькулятор бюджета на информационную безопасность «Лаборатории Касперского». – URL: https://calculator.kaspersky.com/ru (accessed: 05.12.2023).
12. State of Mobile 2023. – URL: https://www.data.ai/en/go/state-of-mobile-2023/ (accessed: 05.12.2023).
13. OWASP. MASVS Cheat Sheet. – URL: https://cheatsheetseries.owasp.org/ IndexMASVS.html (accessed: 05.12.2023).
14. Рекомендации по безопасной разработке приложений. – URL: https://saas.stingray-mobile.ru/knowledgebase/2022.12/rg/ (дата обращения: 05.12.2023).
15. OWASP Mobile Application Security Testing Guide (MASTG). – URL: https://mas.owasp.org/MASTG/ (accessed: 05.12.2023).
16. Vetting the security of mobile applications: NIST SP 800-163 Rev. 1 / M. Ogata, J. Franklin, J. Voas, V. Sritapan, S. Quirolgico. – URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-163r1.pdf (accessed: 05.12.2023).
17. Security risks. – URL: https://developer.android.com/topic/security/risks (accessed: 05.12.2023).
18.??2022 Mobile Security Index Report. – URL: https://www.verizon.com/ business/resources/reports/mobile-security-index/ (accessed: 05.12.2023).
19. Mobile application security: a systematic literature mapping / F.G. Rocha, I.M.L. do Nascimento, O.S.F. Campos, R. Santos, G.R. Colaborador // 16th CONTECSI-International Conference on Information Systems and Technology Management. – São Paulo, 2019. – DOI: 10.5748/16CONTECSI/SEC-6100.
20. Digital Security. Чек-лист по безопасной разработке мобильных приложений. – URL: https://dsec.ru/useful-materials/chek-list-po-bezopasnoj-razra-botke/ (дата обращения: 05.12.2023).
21.??Кибербезопасность в 2022–2023. Тренды и прогнозы. – URL: https://www.ptsecurity.com/ru-ru/research/analytics/ogo-kakaya-ib/ (дата обращения: 05.12.2023).
22. Никитин А. Зачем и как решать проблемы безопасности мобильных приложений? // Информационная безопасность. – 2022. – № 3. – С. 57. – URL: https://www.itsec.ru/articles/zachem-i-kak-reshat-problemy-bezopasnosti-mobilnyh-prilozhenij (дата обращения: 05.12.2023).
23. Common Criteria for Information Technology Security Evaluation. Pt. 1. Introduction and general model: v. 3.1, rev. 5. CCMB-2017-04-001. – Common Criteria, 2017. – 106 p. – URL: https://www.commoncriteriaportal.org/files/ ccfiles/CCPART1V3.1R5.pdf (accessed: 05.12.2023).
Носенко А.В., Пестунова Т.М. Формирование типовых требований безопасности при разработке мобильного приложения // Безопасность цифровых технологий. – 2023.?– № 4 (111). – С. 47–63. – DOI: 10.17212/2782-2230-2023-4-47-63.
Nosenko A.V., Pestunova T.M. Formirovanie tipovykh trebovanii bezopasnosti pri razrabotke mobil'nogo prilozheniya [Formulating typical security requirements for mobile application development]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2023, no. 4 (111), pp. 47–63. DOI: 10.17212/2782-2230-2023-4-47-63.
