Программы. Они есть у всех, и все ими пользуются. Эти небольшие компьютерные программы, установленные на наших смартфонах и планшетах, облегчают работу и развлечения. С помощью всего лишь кончика пальца на квадратных значках мы знаем, где и когда ожидаются следующие дождевые облака, мы можем забронировать билеты на поезд во время путешествия, начать играть в мобильном телефоне или послушать нашу любимую музыку.
Для большинства из нас эти маленькие мобильные помощники стали незаменимыми. В общей сложности почти два миллиона из них уже доступны сегодня на платформах двух крупнейших провайдеров, Apple и Google.
И тенденция растет.Риски конфиденциальности и коммерческий ущербОднако минипрограммы не всегда бывают доброжелательными. «Бизнес-модель бесплатных приложений часто выглядит следующим образом: вам ничего не нужно платить за мои услуги, но взамен я получаю ваши данные», — говорит д-р Юлиан Шутте из Центра прикладных и интегрированных средств безопасности AISEC им.
Фраунгофера в Гархинге. недалеко от Мюнхена. Приложения собирают данные обычно без ведома пользователя. Кража простирается от адресных данных до электронной почты и местоположения, вплоть до идентификационных номеров пользовательских устройств. Разработчики приложения передают данные третьим лицам для географической и личной рекламы. "Факт, который, возможно, рассматривается менее критично или даже как полезный, если приложения используются в частном порядке.
Для компаний, напротив, они скрывают большие риски. Если электронное письмо с коммерчески конфиденциальным содержанием, географическая информация о сотрудниках или конфиденциальный контакт информация передается без ведома, это не только проблематично по техническим причинам защиты конфиденциальности данных, но и может нанести коммерческий ущерб », — предупреждает Шутте.Чтобы защититься от этой опасности, корпоративные ИТ-отделы усиливают мониторинг приложений, используемых сотрудниками. «Благодаря установленной мобильной операционной системе, такой как« iOS », менеджеры по мобильным устройствам — сотрудники ИТ-отдела, которые управляют пулом корпоративных мобильных телефонов — уже имеют достаточно хороший контроль над программным обеспечением, хранящимся на устройствах. Однако для опоздавших, а теперь и на рынке — лидер «Android», в настоящее время нет инструмента, с помощью которого корпоративные ИТ могли бы предотвратить загрузку «диких» приложений, насколько нам известно », — так Шутте описывает проблему для корпораций.
Ученые из AISEC закрыли эту лазейку. Их новый App-Store автоматически отфильтровывает проблемные приложения для Android и предлагает сотрудникам только мобильные приложения, которые соответствуют собственным корпоративным рекомендациям по ИТ-безопасности. «Администраторы и менеджеры мобильных устройств могут сами определять, какие приложения разрешено устанавливать, а какие нет», — как описывает Шутте добавленную стоимость.Дополнительные существенные преимущества решения AISEC: анализ приложений является гибким и может быть адаптирован к широкому спектру директив компании.
Кроме того, ИТ-отдел может также указать, что приложениям разрешено общаться только с помощью шифрования. «Это немаловажная особенность во времена шпионских скандалов АНБ», — считает Шутте. И, наконец, программное обеспечение работает не только с предлагаемыми сегодня приложениями. «С помощью нашего App-Store компании могут создавать рынки со своими собственными приложениями, которые являются чистыми с точки зрения безопасности», — добавляет Шутте.
Фильтр безопасности для приложений Android состоит из приложения, установленного на пользовательском устройстве, которое напрямую подключено к ИТ-архитектуре корпорации через систему анализа под названием «App Ray», работающую в серверной части. Поиск и загрузка приложений происходит исключительно через это приложение. «Сотрудникам автоматически предоставляются только безопасные приложения», — поясняет Шутте. Это гарантируется центральным элементом магазина — инструментом Backend Analysis Tool.
Он автоматически проверяет приложения, а затем разрешает их выпуск или нет. «С помощью App-Ray мы знаем, откуда поступают данные в приложение и из него, можем исследовать файлы и исходный текст, которые они содержат, отслеживать технические детали всех потоков данных, запускать приложение в тестовой среде и наблюдайте за его поведением там. Это создает полную картину безопасности каждого доступного мобильного приложения », — так Шутте описывает MO.
Решение AISEC работает как структура, объединяющая существующие функции безопасности. Например, инструмент анализа, который исследует приложения с помощью сорока различных антивирусных сканеров одновременно.
Исследователи уже запрограммировали прототип безопасного App-Store.Демонстрационное видео App-Ray можно посмотреть по следующему веб-адресу: http://www.app-ray.de/