1

Тест на проникнення додатку “ТиХто”

 

Ще одна історія успішного партнерства нашої компанії з командою «ТиХто» та колегами з SSG Systems. А саме в декілька етапів ми провели оцінку технічної захищеності застосунку ТиХто.

 

ТиХто – це мобільний додаток, який допомагає ЗСУ і територіальній обороні при перевірці осіб на предмет виявлення можливих зв’язків з криміналом, диверсійною діяльністю та «рускім міром». Безпосередньо над створенням додатку працювали команди YouControl та Artellence за підтримки кіберфахівців СБУ.

 

Трохи деталей про ТиХто.

 

За допомогою додатку користувач може в режимі реального часу перевірити будь-яку особу на приналежність до категорій ризику, що потенційно може становити загрозу. Наприклад: втрачений чи недійсний паспорт, перебування особи у державному розшуку, включення до санкційних списків РНБО, реєстрів терористів і ДРГ, перебування авто у розшуку тощо.

 

Застосунок працює з відкритими даними реєстрів, не містить і не зберігає персональні дані осіб. Негативний результат запиту у застосунку  – це привід для подальших ретельних перевірок правоохоронними органами.

 

З моменту першої публікації ТиХто в AppStore та Google Play, розробниками були суттєво доопрацьовані використовувані у застосунку алгоритми пошуку та аналізу даних.

 

Які задачі вирішили наші етичні хакери

 

Тестування захищеності застосунку виконувалось за принципами чорної та сірої скрині.

 

Виходячи з призначення та принципу дії застосунку ТиХто, наша команда пентестерів особливу увагу приділила таким векторам атак та зонам ризику, як:

–  несанкціонований доступ до віддалених панелей управління,

– доступ до чутливих даних застосунку,

– витік конфіденційної інформації,

– горизонтальна або вертикальна ескалація привілеїв,

– стійкість до відомих атак.

 

Які висновки за результатами тесту на проникнення

 

 На момент проведення пентесту (мається на увазі тестування на проникнення версій додатку, актуальних на той момент, до наступних оновлень) наші експерти дійшли висновку, що реалізований рівень безпеки ТиХто є високим.

 

Розуміючи, що наявність будь-яких помилок чи вразливостей у програмному продукті створює потенційні ризики різного направлення та характеру, команда розробників YouControl, постійно працює над удосконаленням застосунку ТиХто. В тому числі – над забезпеченням належного рівня його безпеки, відстеженням та оперативним усуненням виявлених недоліків і вразливостей.

 

Такий підхід є чудовим прикладом для всіх організацій, що демонструє високий рівень відповідальності та обізнаності у сфері кібербезпеки.

 

 

Related Posts

card__image

Якщо уявити Кіберзлочинність як країну це була б третя економіка світу

  До 2025 року кіберзлочинність коштуватиме 10,5 трильйонів доларів щорічно.   Якщо оцінювати її як країну, то кіберзлочинність, яка у 2021 році завдала глобальних збитків на загальну суму 6 трильйонів доларів США, була б третьою за величиною економікою світу після США та Китаю.   За даними Cybersecurity Ventures, очікується, що глобальні витрати на кіберзлочинність зростатимуть […]

Хакери прискорилися: від публікації інформації про вразливості до початку атак на них проходить близько 15 хвилин

  Згідно дослідження Palo Alto Unit 42 про реагування на інциденти за 2022 рік, хакери постійно відстежують оголошення постачальників програмного забезпечення щодо інформації про нові вразливості. Вони оперативно використовують її для початкового доступу до корпоративної мережі або для віддаленого виконання коду.     У системних адміністраторів залишається все менше часу на виправлення виявлених вразливостей. У […]

card__image

Отакої: 1 із 3 співробітників не розуміє, чому кібербезпека важлива

  Навіть гірше — лише 39% кажуть, що «ймовірно» повідомлять про кіберінцидент.   Новий приголомшливий звіт вказує на відсутність зв’язку між співробітниками та зусиллями їхньої компанії щодо кібербезпеки.   Згідно з новим дослідженням Tessian, майже кожен третій (30%) співробітник не вважає, що він особисто відіграє роль у підтримці кібербезпеки своєї компанії.   Крім того, лише […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.