22/05/25
Лидер результативной кибербезопасности Positive Technologies анонсирует PT MAZE — первый в России сервис для защиты мобильных приложений от реверс-инжиниринга[1]. Услуга призвана сделать взлом дорогим для злоумышленника и заставить его отказаться от идеи атаковать.
Недостаточная защищенность кода остается[2] одной из самых распространенных проблем современных приложений. Кроме того, в рейтинге OWASP Top 10[3] эта проблема безопасности переместилась с 10-го места в 2014 году на 7-е в 2024-м. Киберугроза заключается в возможности совершать реверс-инжиниринг, который в руках атакующих становится опасным инструментом взлома мобильного ПО. С его помощью хакеры могут искать уязвимости, создавать клоны приложений, почти не отличимые от оригиналов, похищать интеллектуальную собственность разработчиков, а также атаковать граждан, чтобы украсть деньги или персональные данные.
Сервис PT MAZE сегодня не имеет аналогов на российском рынке. В его основе — протектор[4], сочетающий лучшие мировые практики разработки и экспертизу Positive Technologies в исследовании защищенности мобильного ПО. Более 10 лет этичные хакеры Positive Technologies проводили исследования, в том числе по реверс-инжинирингу тысяч приложений, накопив уникальный опыт и знания, как сделать их трудноатакуемыми.
PT MAZE подойдет любой компании, независимо от отраслевой специфики, в бизнес-процессах которой участвуют мобильные приложения. В первую очередь сервис может быть интересен банкам, финтех-компаниям и ритейлерам. На данный момент PT MAZE работает с двумя самыми популярными мобильными ОС — Android и iOS — и предоставляется с полной сервисной поддержкой Positive Technologies.
«Реверс-инжиниринг невозможно запретить или исключить: хакер всегда сможет модифицировать приложения, читать их память или использовать фрагменты кода на свое усмотрение. Однако можно усложнить этот процесс, обеспечив хорошую защиту кода, — комментирует Николай Анисеня, руководитель разработки PT MAZE. — PT MAZE превращает приложение, образно говоря, в непроходимый лабиринт для злоумышленников. Подсчитав денежные, экспертные и временные затраты на успешный взлом, хакеры откажутся от идеи искать из него выход и сместят свой интерес в сторону более легких мишеней. Таким образом, надежная защита кода убережет ваш бизнес от потерь в результате наступления недопустимых событий, связанных с реверс-инжинирингом».
Противодействие реверс-инжинирингу в формате сервисов пока еще слабо распространено в России, прикладных инструментов в отрасли не было, а большинство используемых мер защиты не может быть серьезным препятствием для атакующих. PT MAZE способствует предотвращению реверс-инжиниринга, который может проводиться хакерами для клонирования, модификации, намеренной разблокировки платных или ограничивающих функций, а также для реализации последующих шагов атак на инфраструктуру компании.
«Подавляющее большинство современных приложений — это сложные системы с большой поверхностью для атак. Эти программы, как правило, могут хранить персональные, учетные, платежные данные, поэтому всегда находятся в фокусе внимания атакующих. Защите мобильных приложений должны уделять тщательное внимание как их создатели, так и компании, которые приобрели уже готовое ПО либо заказывали его разработку. В частности, для бизнеса взлом любого сервиса, доступного внешним пользователям, является потенциальной точкой входа в корпоративный периметр, служит плацдармом для последующего развития атак и несет большое количество самых разных рисков», — комментирует Ольга Ринглер, руководитель группы исследовательских проектов Positive Technologies.
PT MAZE уже включен в реестр российского программного обеспечения, это позволит пользоваться сервисом в том числе компаниям, которые ограничены в применении иностранного ПО.
Сервис прост в использовании и не требует долгой настройки. Для модификации приложения и применения к нему защитных модeлей PT MAZE необходимо загрузить приложение на сервер, а затем скачать любую из измененных версий с уже встроенными модулями защиты. Чтобы клиенты могли управлять сервисом одной кнопкой, специалисты Positive Technologies заранее подготовили стандартные параметры защиты.
