Поделиться
Исследование Positive Technologies: насколько эффективно протекторы защищают приложения для Android
Эксперты Positive Technologies, компании в области результативной кибербезопасности, проанализировали, как протекторы влияют на безопасность приложений для операционной системы Android. Об этом CNews сообщили представители Positive Technologies.
Протектор — это ПО, предназначенное для всесторонней защиты мобильного приложения от рисков, связанных с реверс-инжинирингом. Протектор объединяет в себе защиту в статике (обфускация, шифрование кода, ресурсов) и защиту в динамике — RASP, Runtime Application Self-Protection, а также другие средства защиты.
Были проанализированы 94 наиболее популярных мобильных приложения в отдельных категориях магазина RuStore за август 2025 г. Поиск недостатков безопасности и защитных механизмов, используемых в приложениях для Android, осуществлялся с помощью мобильного сканера уязвимостей MobSF, поддерживающего статический анализ кода.
В рамках исследования был использован сервис для защиты мобильных приложений от реверс-инжиниринга PT MAZE. Благодаря услуге число уязвимостей, обнаруживаемых в тестируемом ПО, снизилось на 40%, а количество раскрытых секретов (учетных данных, API-ключей, токенов) — более чем на 70%. Вероятность того, что злоумышленник раскроет защитные технологии приложения, сократилась на 60%.
Android занимает три четверти мирового рынка мобильных операционных систем, свидетельствуют данные аналитической платформы Statcounter. Отрытый исходный код ОС и простой доступ к APK-файлам приложений позволяют злоумышленникам успешно применять реверс-инжиниринг для поиска уязвимостей, создания клонов ПО, кражи интеллектуальной собственности разработчиков, а также денег и персональных данных пользователей.
В рамках исследования специалисты Positive Technologies выявили в изученных приложениях более 50 потенциальных уязвимостей разного уровня риска. После применения PT MAZE количество детектируемых ошибок сократилось на 40%. Число дефектов безопасности с высоким уровнем риска снизилось на 67%, со средним — на 24%, а недостатков, которые могли бы опосредованно повлиять на безопасность, обнаружилось на 80% меньше.
Результат использования протектора при маскировке ошибок различался для ПО разных категорий: наилучший показатель у приложений для доставки еды (минус 46% уязвимостей). За ними следуют категории «Путешествия и транспорт» и «Маркетплейсы и объявления», где снижение числа обнаруженных уязвимостей составило 38%. С небольшим отрывом идут «Развлечения и контент», «Телеком», «Финансы и платежи»: видимых ошибок в каждой из трех категорий стало меньше примерно на треть.
После применения протектора снизилось также количество корректно реализованных мер безопасности, которые можно обнаружить с помощью сканера, — в среднем на 67%. Как отмечают эксперты Positive Technologies, это свидетельствует о том, что используемые специалистами по ИБ методы становятся менее доступными для статического анализа, и следовательно, потенциальному атакующему сложнее распознать и изучить их.
PT MAZE скрывает от злоумышленника не только уязвимости и методы защиты, но и дополнительные артефакты, которые могут указать атакующему на слабые места в приложении. К таким артефактам относятся учетные данные, API-ключи и токены. Сравнительный анализ продемонстрировал, что при использовании протектора число детектируемых секретов снижается на 71%. Абсолютная эффективность сервиса отмечена для приложений из категории «Инструменты и утилиты», а наименьший показатель у категорий «Путешествия и транспорт» и «Развлечения и контент» (минус 81% видимых секретов).
«Чтобы обеспечить безопасность мобильных приложений, разработчики активно используют обфускацию, техники для защиты ПО от отладки, дизассемблирования и запуска в виртуальных машинах. Однако все эти механизмы могут оказаться бесполезны, если о них узнает злоумышленник и заранее подготовит методы для обхода применяемых технологий, — сказал Александр Ананикян, аналитик PT MAZE, Positive Technologies. — Исследование показало, что исходные APK-файлы всех тестируемых приложений содержали сигнатуры механизмов для обеспечения безопасности — прямую наводку для атакующих. После модификации ПО с помощью PT MAZE нам удалось выявить на 60% меньше защитных техник».
Согласно результатам исследования, протектор позволил скрыть использование механизмов защиты от запуска в виртуальных машинах в 98% случаев, механизмов отладки — в 91%. Для обфускации и техник защиты от дизассемблирования результаты сканирования ухудшились на 32% и 21% соответственно.
Короткая ссылка
