Мобильные приложения на iOS оказались уязвимее, чем на Android

Эксперт по мобильным приложениям на примерах развенчал теорию о неуязвимости «закрытой» операционной системы, на которой работают популярные «яблочные» гаджеты. По словам Юрия Шабалина, несмотря на закрытый исходный код и жесткий контроль при публикации обновлений в App Store, при сравнении одного и того же приложения на двух платформах, версия для iOS зачастую содержит больше проблем, чем ее Android-аналог.

"Закрытость системы, к сожалению, не синоним безопасности, - рассказал Юрий Шабалин, - свежие таргетированные атаки на приложения iOS это подтверждают и дают хороший повод не расслабляться и строить «второй контур» безопасности в приложении. Ошибки при разработке и надежда на операционную систему — главная причина проблем. Уязвимым показал себя и кроссплатформенный фреймворк Flutter, который разработчики часто используют для создания приложений на iOS. Так исследование, проведенное AppSec.Sting, показало, что в 9 из 10 -приложений встречается хотя бы одна из этих проблем: хранение данный в открытом виде в KeyChain (iOS), отсутствие реакции на изменение биометрических данных и возможность обхода биометрической аутентификации, возможность бесконечно «перебирать» PIN-код".

Среди распространенных проблем эксперт называет опасность компрометации данных в хранилище, где содержатся пароли, токены аутентификации, ключи шифрования. Возможность отключать различные функции на стороне пользователя дает хакерам дополнительные возможности. Так, к примеру, iOS позволяет вручную включить полное доверие к установленному корневому сертификату.