| 16 авг 2016 — 9:27 утра PT
Потребители, загружающие приложения из App Store, должны полагаться на процесс одобрения Apple для проверки небезопасных приложений, и даже тогда нет гарантии, что Apple не упустила что-то важное. Только в прошлом году сотни приложений в App Store использовали приватные API для сбора частных пользовательских данных, что является нарушением Руководства по проверке приложений. Недавно запущенное публичное бета-тестирование сервиса Will Strafach Verify.ly призвано предоставить обычным потребителям «предупреждающую этикетку для приложений».
Самый простой способ понять Verify.ly — это использовать аналогию, которой Strafach поделился со мной по электронной почте. Если приложение рассматривать как книгу, то конкурирующие сервисы просто читают «оглавление» книги, в то время как Verify.ly читает ее от корки до корки. В то время как другие сервисы смогут сообщить вам, получает ли приложение доступ к вашим контактам и местоположению, Verify.ly сможет рассказать, какую часть ваших контактов использует приложение (фото, имя, электронную почту и т. д.) и когда оно получает доступ к вашему местоположению (в фоновом режиме, в активном режиме или в обоих).
Я решил лично ознакомиться с сервисом, посмотрев отчет, который Verify.ly предоставил для одного из самых популярных приложений на данный момент — Pokémon GO. Посмотрев отчет, мы можем увидеть, к каким данным приложение имеет доступ, и принудительно ли оно применяет App Transport Security (что будет требоваться для всех приложений с января 2017 года). Согласно отчету, Pokémon GO использует GPS-местоположение, когда приложение открыто (как и ожидалось), но оно также не принудительно шифрует данные (ATS) при выполнении сетевых задач. Последнее может не считаться «жизненно важным» для обычных пользователей, но всего несколько месяцев назад сторонние приложения Snapchat были обнаружены в потенциальном сборе учетных данных или их небезопасной передаче. Когда приложение требует отправки учетных данных через Интернет для создания учетной записи и входа в систему, зашифрованный сетевой трафик должен рассматриваться как минимум.
Verify.ly предоставляется как бесплатный сервис для индивидуального использования, с бизнес-моделью, ориентированной на корпоративную/корпоративную разработку приложений. Для компаний, использующих устройства, принадлежащие пользователям, или корпоративные устройства, Verify.ly может использоваться для проверки того, что устройства в корпоративной среде работают безопасно. Многие другие компании, предоставляющие решения MDM, полагаются на системы белых или черных списков при принятии решения о том, какие приложения допустимы для установки. К сожалению, ничто из этого не гарантирует, что приложение из белого списка так же безопасно, как должно быть. Verify.ly может выполнять массовый анализ набора приложений, а затем блокировать доступ к приложениям, которые могут вызывать нежелательное поведение.
Другая бизнес-модель, на которой работает Verify.ly, — это обеспечение безопасности разработанных приложений перед их выпуском. Многие компании полагаются на сторонние организации для разработки программного обеспечения под собственным брендом, которое затем будет перебрендировано перед выпуском в App Store. В зависимости от условий контракта, исходный код не всегда может быть изучен или даже просмотрен.
Strafach отмечает, что в такой ситуации главная компания будет обвинена в случае возникновения любых проблем с безопасностью, а не сторонняя компания. Verify.ly сможет провести аудит безопасности этих приложений, а затем проверить, является ли это реальной уязвимостью или ложным срабатыванием. Strafach объясняет, что, например, незашифрованный ключ API для службы, которую использует приложение, может быть раскрыт, что позволит злоумышленнику начать его использовать. Анализ Verify.ly сможет выявить такие случаи и проинформировать компанию о ситуации.
Strafach также предоставил список приложений, нарушающих безопасность, которые в настоящее время доступны в App Store и каждое из которых имеет другое, неучтенное поведение. Это включает возможность чтения списка установленных в данный момент приложений и даже попытки установки сторонних приложений без согласия пользователя (это больше не должно быть возможно для устройств под управлением iOS 8.x и выше).
Verify.ly в настоящее время доступен в виде публичного бета-тестирования с ограниченным количеством просмотров отчетов. Чтобы получить представление о возможностях платформы, я составил ниже список из 10 самых кассовых приложений в американском App Store:
- Pokémon GO
- Mobile Strike
- Game of War – Fire Age
- Spotify Music
- Pandora
- Candy Crush Saga
- Netflix
- Clash of Clans
- HBO Now
- Hearthstone: Heroes of Warcraft
Примечание автора: до работы в 9to5Mac я работал у работодателя, который уделял основное внимание разработке мобильного программного обеспечения для корпоративных клиентов с сильным акцентом на решения MDM.