Аудиторы F.A.C.C.T. проверили безопасность корпоративного коммуникатора Anwork
Специалисты компании F.A.C.C.T., российского разработчика технологий для борьбы с киберпреступлениями, провели исследование защищенности мобильного приложения Anwork. Этот новый отечественный мессенджер, предназначенный для безопасных корпоративных коммуникаций и защищенного обмена данными.
На фоне массового взлома популярных мессенджеров и негласных запретов на использование в российских компаниях зарубежных приложений для передачи конфиденциальных данных разработчики Anwork уделяют повышенное внимание защищенности приложения и конфиденциальности передаваемых данных.
Его особенности — высокоуровневое шифрование на базе криптостойкого протокола Signal (end-to-end encryption) для сообщений, видеозвонков и аудиоконференций. Внедренная в мессенджере обезличенная регистрация, закрытые группы, локальное хранение данных исключительно на устройствах пользователей и автоудаление истории, по словам разработчиков, не позволят злоумышленникам получить через приложение доступ к личным данным, переписке или контактам пользователей.
Для проверки уровня защищенности мессенджера Anwork была привлечена команда департамента аудита и консалтинга компании F.A.C.C.T. Аудиторы провели экспресс-анализ защищенности мобильного приложения на платформах iOS и Android.
В ходе проверки эксперты подтвердили, что приложение надежно защищает дистанционную передачу данных, даже несмотря на некоторые уязвимости среднего и низкого уровня риска, так как их эксплуатация требует наличия у злоумышленника прав суперпользователя и непосредственного физического доступа к устройству.
Получив от экспертов подробный технический отчет, содержащий информацию о ходе тестирования, описание обнаруженных уязвимостей, а также рекомендации по снижению потенциальных угроз безопасности, разработчики Anwork оперативно устранили выявленные недостатки.
«Для команды Anwork было важно создать продукт, который защищает корпоративные данные настолько хорошо, насколько это вообще возможно, — сказал Иван Король, разработчик ПО Anwork. — Именно поэтому мы регулярно проходим аудиты защищенности — в прошлом году аналогичную проверку прошла версия решения для конечных пользователей. Разумеется, при проектировании приложения мы, в первую очередь, думали о том, как защитить процессы, неподконтрольные пользователю, оставляя ему возможность самому следить за сохранностью и безопасностью своего телефона. Однако мы прислушались к мнению аудиторов и провели работу по устранению замечаний. Таким образом, сейчас наше приложение практически достигло того уровня, когда его взлом становится просто бессмысленным — слишком дорогую цену придется заплатить для того, чтобы получить доступ к пользовательским данным».
«Проведение регулярного аудита — одно из обязательных условий обеспечения безопасной работы мобильных приложений, — отметил Александр Соколов, руководитель департамента аудита и консалтинга компании F.A.C.C.T. — Особенно важно проводить исследование защищенности в отношении нового приложения, готового к выходу на рынок. В случае с Anwork проверка была двухэтапной: сначала мы провели полноценное тестирование приложения и его компонентов, в результате которого были обнаружены некоторые недостатки. После их устранения командой разработчиков мы провели оценку корректности их устранения. Это важный этап, так как именно он позволяет сделать вывод, что уязвимости устранены, а безопасность приложения возросла».