Podle analytiků společnosti Gartner neprojde v roce 2015 více než 75 procent mobilních aplikací základními bezpečnostními testy. Problém je přitom podle nich širší, než se na první pohled zdá: Je třeba zabývat se nejen klientskou stranou mobilní aplikace, ale také serverovou, a disponovat příslušným know-how, aby bylo možno se na výsledky testů skutečně spolehnout.
V situaci, kdy si zaměstnanci stahují z app storů množství aplikací, které pracují s různými typy podnikových dat, je nejistota ohledně bezpečnosti mobilních aplikací alarmující. Tyto aplikace totiž zpravidla neposkytují žádné bezpečnostní záruky, takže mohou být jednak náchylné k podlehnutí různým útokům, jednak nesplňují pravidla bezpečnostních politik firem, čímž se mohou stát doslova časovanou bombou.
„Firmy, které přijaly za své mobilní computing a strategie BYOD (bring your own device) jsou náchylné k bezpečnostním slabinám – pokud nepřijmou metody a technologie pro bezpečnostní testování mobilních aplikací,“ říká Dionisio Zumerle, analytik společnosti Gartner. “Většina firem je v oblasti bezpečnosti mobilních aplikací nezkušená. I když je tu prováděno bezpečnostní testování aplikací, mnohdy jej řeší běžní vývojáři, kteří se více soustředí na funkcionalitu aplikací než na jejich bezpečnost,” upozorňuje Zumerle.
Podle Zumerleho lze očekávat, že výrobci řešení SAST (static application security testing) a DAST (dynamic application security testing) se vývoji přizpůsobí a budou své technologie modifikovat tak, aby byly schopny efektivně testovat možné bezpečnostní slabiny i u mobilních aplikací. Kromě SAST a DAST se ale objevují i nové typy testů, a to především těch využívajících behaviorální analýzy. Tyto testovací technologie monitorují běžící aplikace a detekují jejich škodlivé nebo riskantní chování.
Analýza Gartneru upozorňuje, že ale nestačí testovat pouze klientskou vrstvu (kód aplikace a GUI), ale je třeba se zaměřit rovněž na vrstvu serverovou. Mobilní klienti totiž přistupují k firemním datům prostřednictvím příslušných serverů; pokud se vyskytne bezpečnostní slabina tam, jsou potenciálně ohrožena data desítek nebo stovek tisíc klientů z podnikových databází. Kód a rozhraní serverové vrstvy by měl podle analytiků být rovněž testován technologiemi SAST a DAST.
„Dnes více než 90 procent firem používá pro své mobilní BYOD strategie aplikace třetích stran a to je oblast, kam by měla být napřena hlavní část úsilí na testování,“ říká Zumerle. Podle jeho názoru by si pak uživatelé při pořizování mobilních aplikací měli dávat pozor nejen na jejich funkcionalitu, ale právě i na jejich bezpečnost.
Podle Gartneru se útočníci využívající slabin koncových zařízení v roce 2017 zaměří převážně na tablety a chytré telefony; už nyní podle jejich statistik připadají tři útoky na mobilní zařízení na jeden útok na desktop. Aktuální bezpečnostní opatření podle nich přitom rozhodně nebudou stačit. Gartner doporučuje firmám dodatečná opatření posilující bezpečnost aplikací.
Kolem roku 2017 bude přitom podle Gartneru 75 procent bezpečnostních průniků výsledkem špatné konfigurace mobilních aplikací spíše než vysoce technických útoků na mobilní zařízení. Typickým příkladem špatné konfigurace je přitom podle nich nevhodné nastavení využití služeb osobního cloudu prostřednictvím aplikací na smartphonech a tabletech. Při použití pro podniková data může docházet k jejich únikům, kterých si navíc firmy nejsou často ani vědomy.
Bezpečnostních rizik pro data jsou si pochopitelně vědomi i výrobci mobilních operačních systémů. Společnost Apple přišla v iOS 8 s tím, že data v telefonu jsou při standardním nastavení šifrována a šifrovací klíče není možno nijak získat přímo ze zařízení – takže se k datům podle výrobce nelze dostat ani tehdy, pokud o ně požádají příslušné státní orgány. A podobný přístup slibuje i Google v příští generaci svého systému (Android L), která by měla být k dispozici v nejbližších týdnech.
Vyšší výkon i větší velikosti displejů mobilních zařízení přinášejí stále nové možnosti jejich využití. Budeme s sebou už brzy nosit...