Android applikaatioiden haavoittuvuustestaus

JRComplex Android haavoittuvuustestaus varmistaa ettei mobiiliapplikaation asennuksessa ja käyttöympäristössä ole helposti haavoittuvia kohtia:

  • Haittaohjelma yrittää hyökätä applikaatiota vastaan
  • Mobiililaite on esimerkiksi varastettu ja ulkopuolinen tekijä yrittää tunkeutua apllikaatioon ja sen sisältämään dataan

Haavoittuvuustestaus koostuu kolmesta vaiheesta:

  1. Reverse engineering, missä koodi puretaan komponenteiksi
  2. Staattinen analyysi, missä koodin asennuksesta tai käyttöympäristöstä etsitään haavoittuvia kohtia
  3. Dynaaminen analyysi, missä koodin ajonaikaisesta käyttöympäristöstä etsitään haavoittuvia kohtia
  4. Versiokohtaisien julkistettujen haavoittuvuuksien analysointi

Applikaatiotestaus tapahtuu Android AVD emulaattorissa, joten varsinaisessa fyysisessä laiteympäristössä voi olla valmistajakohtaisia eroja.

Tarvittaessa JRComplex pystyy toteuttamaan hyökkäyksiä Android applikaatiosta aina back end servereille saakka, tästä sovitaan kuitenkin tapauskohtaisesti erikseen. Vastaavasti JRComplex voi kehittää erillisessä projektissa Android applikaatioiden ja palveluiden testausratkaisuja asiakkaan tarpeiden mukaisesti. 

Mobiilailaitteissa koko tietoturvallisuuden käsite nousee aivan uudelle tasolle:

  • Laitteet ovat henkilökohtaisia, eli henkilö ja tietty laite voidaan yhdistää
  • Laitteet keräävät biometrisia tunnisteita
  • Laitteet pystyvät seuraamaan käyttäjän fyysistä liikkumista, eli tietävät missä käyttäjä on
  • Laitteet pystyvät seuraamaan keiden henkilöiden kanssa käyttäjä liikkuu
  • Laitteet pystyvät tekemään käyttäjästä psykologista analyysiä

Sensoreiden määrä mobiililaitteissa on kattava:

  • Ambient Light Sensor
  • Pressure Sensor
  • Ambient Temperature Sensor
  • Proximity Sensor
  • Relative Humidity Sensor
  • Acceleration Sensor
  • Gyroscope Sensor
  • Magnetic Field Sensor
  • Significant Motion Sensor
  • Gravity Sensor
  • Rotation Vector Sensor
  • All location Sensors
  • Step Sensors
  • Activity Recognition

2015 Facebook patentoi menetelmän missä liiketunnistuksen avulla pystytään määrittämään mitkä laitteet ovat lähekkäin, eli esim. kävelevät vierekkäin. Kuvien metadatan avulla voidaan selvittää mitkä henkilöt (laitteet) ovat ottaneet kuvia lähekkäin toisiaan. Uutena asiana on tulossa kasvojen tunnistus, missä kasvojen ilmeistä ryhdytään tunnistamaan käyttäjän tunnetilaa ja tekemään käyttäjästä psykologista analyysiä. Sormenjälkitunnisteet ovat jo monen laitteen ominaisuuksia ja siten loppukäyttäjien biometrisiä tunnisteita kerätään jo nyt tietokantoihin maailmalla. Käyttäjän some- ja selailuhistorian sekä käytettyjen palveluiden yhdistäminen siihen keihin käyttäjä on yhteydessä muodostaa jo melko täydellisen profiilin, josta puuttuu enää kauppojen kanta-asiakaskorttien ostohistoria ja eri rekistereiden sisältämä terveysdata.

JRComplex pystyy kiristämään laitteiden tietoturvaa ja rajoittamaan tietovuotoja.