Защищенность мессенджеров – исследование Solar Security
Компания Solar Security сообщила о результатах исследования защищенности мобильных приложений для мгновенного обмена сообщениями. Для участия в исследовании были выбраны международные популярные приложения: Facebook Messenger, QQ International, Signal, Skype, Slack, Telegram, Viber, WeChat и WhatsApp. Каждое приложение рассматривалось в двух реализациях – для мобильных платформ iOS и Android. Проверка безопасности осуществлялась автоматически, с помощью решения Solar inCode, которое использует методы статического, динамического и интерактивного анализа кода.
Что интересно, реализации приложений для платформы Android оказались более защищенными по сравнению с реализациями под iOS. Среди проанализированных Android-мессенджеров в тройку наиболее защищенных вошли Signal, Facebook Messenger и Slack. При этом Signal показал очень высокий результат. Отсутствие серьезных уязвимостей позволяет говорить о том, что приложение достаточно безопасно как в части защиты данных пользователей, так и в устойчивости к атакам с помощью троянов или известных эксплойтов. Хорошее качество кода продемонстрировали Facebook Messenger и Slack, который уже получил звание самого быстрорастущего бизнес-приложения.
Лидерами среди iOS-приложений стали Facebook Messenger, Viber и Skype. Четвертое место с небольшим отставанием занял Signal. Больше всего уязвимостей обнаружено в мессенджерах QQ International и WeChat, которые представляются наименее защищенными вне зависимости от платформы.
Исследование показало, что все проанализированные приложения содержат уязвимости, которые можно разделить на две группы по возможному способу эксплуатации. Одна группа – это уязвимости, повышающие риски компрометации информации, хранимой на устройстве: логинов, паролей, переписки и т. д. Как правило, уязвимости такого типа эксплуатируются при помощи вредоносного ПО.
Вторая группа –уязвимости, позволяющие проводить атаку Man-in-the-Middle («человек посередине»), в результате которой злоумышленник может получить доступ ко всем данным, пересылаемым через мессенджер. Такие атаки успешно реализуются, например, при использовании общественного Wi-Fi.
При подготовке исследования декомпиляция и деобфускация приложений не производилась. Статический анализ осуществлялся в отношении бинарного кода.