Всё о новых штрафах за утечки данных. Сколько светит и как защитить своё приложение

На этой неделе Госдума ужесточила ответственность за нарушения в работе с данными — для компаний штрафы вырастут до 3% от выручки или до 500 миллионов рублей. По оценке нововведения затронут каждую третью компанию в стране. Поэтому сегодня совместно с лидом Android-разработки Surf Алексеем Рябковым...

Все блоги / Про интернет

Пишем своё приложение для установки PIN на другие приложения

Ещё с детства мой отец приучил меня пользоваться антивирусами. Соблюдая традиции, я купил себе подписку на антивирус для Андроида. Оказалось, в приложении есть крайне интересная фича - установка ПИН-кода для других приложений на устройстве. Интересной она была для меня тем, что я, как мобильный...

Все блоги / Про интернет

Защита персональных данных в мобильных приложениях: как не нарушить закон

Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы российского законодательства сегодня разберем, под какие еще требования попадают приложения, насколько...

Все блоги / Про интернет

Банк vs мошенники. Кто сильнее?

Жизнь все больше переходит в цифровую плоскость. Меняются как наши привычки, так и возможности. Мы привыкли, что через банковское приложение можем не только проверить остаток, а и оплатить услуги, перевести другу деньги и при необходимости взять кредит без визита в банк. Читать далее...

Все блоги / Про интернет

Фокус на безопасность мобильных приложений

Всем привет! На связи Юрий Шабалин, генеральный директор “Стингрей Технолоджиз”. Недавно я проводил вебинар для новых сотрудников компании, в котором рассказывал про проблемы безопасности мобильных приложений, а именно, почему важно их защищать, какие особенности встречаются при разработке и...

Все блоги / Про интернет

Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений

Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней, собственно, такого? Ну хотя бы то, что ей подвержены более 18% всех Java-библиотек, соответственно,...

Все блоги / Про интернет

Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости

Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых статей я составлял шорт-лист мифов о безопасности мобильных приложений. Один из них был посвящен проверке...

Все блоги / Про интернет

Permissions в Android: как не допустить ошибок при разработке

Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной @VeselinaZatsepinaa). В материале мы поговорим про один из ключевых механизмов в Android, а именно про...

Все блоги / Про интернет

Шифруем CoreML

ML модель, как и многие другие формы интеллектуальный собственности, можно украсть и использовать для своих целей без ведома авторов. В случае с CoreML большинство моделей зашиты внутри приложения. Достаточно взять Jailbreak девайс, прочитать содержимое бандла и вытащить модель. Подобрать инпут...

Все блоги / Про интернет

[recovery mode] «Вам повезло!» или как Яндекс устранял баг

Предисловие Hello, team! Возможно, столь завуалированное название статьи Вас заинтересовало, и вы решили прочитать ее во что бы то ни стало, дабы понять суть. Но на деле все куда проще, а остроты данной ситуации подбавляют лишь комические реплики службы поддержки Яндекс (далее - ЯД), которая...

Все блоги / Про интернет

Виды Application Security Testing. Как не запутаться среди SAST, DAST и IAST

Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST). Читать дальше →...

Все блоги / Про интернет

Готовим Pirogue и пробуем его с трафиком домашней камеры Mi Home

Наткнувшись на короткую статью на Хабр о решении PiRogue, мне показалось интересным проверить - можно ли получить работающий инструмент, затратив минимум времени. При этом, хотелось отработать конкретную прикладную задачу - проверить куда же идет траффик с моей домашней камеры. Ингредиенты: девайс...

Все блоги / Про интернет

Нелегкий путь к динамическому анализу мобильных приложений

Привет, Хабр! Каждую свою статью я начинаю с упоминания о том, что наша команда разрабатывает платформу анализа защищенности мобильных приложений. Почему? Размещая свои посты, информацию, которая мне кажется полезной, различные находки и трюки, мне хочется делиться с единомышленниками, помогать...

Все блоги / Про интернет

Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях

Привет, Хабр! Многим из вас я уже знаком по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о том, на что обратить внимание при поиске и анализе чувствительной информации в приложении, как ее...

Все блоги / Про интернет

Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов

Привет Хабр! По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о хранении секретов в мобильных приложениях. А именно о том, что происходит с аутентификационными данными...

Все блоги / Про интернет

Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Всем привет! Меня зовут Юрий Шабалин, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. Сегодня я хотел бы снова затронуть тему безопасности сетевого взаимодействия между приложением и его серверной частью. На...

Все блоги / Про интернет

Подборка материалов по мобильной безопасности «Awesome Mobile Security»

Привет, Хабр! Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. По долгу службы мы подписаны на большое количество ресурсов и прорабатываем...

Все блоги / Про интернет

СheckKarlMarx: утилита для поиска уязвимостей в продовых сборках

Всем привет! Меня зовут Дмитрий Терёшин, в СберМаркете я занимаюсь Application Security — безопасностью веб- и мобильных приложений. Во время аудитов мобильных приложений я часто натыкался на плавающие уязвимости: они появляются только в конечной сборке, которая отправляется в стор. Я разработал...

Все блоги / Про интернет

Назад