Продолжаем цикл постов про разные классы решений в AppSec/DevSecOps. Сегодня говорим про MAST 📱
Что такое MAST?
MAST — это Mobile Application Security Testing, или «тестирование безопасности мобильных приложений». По сути, тут та же логика, что у SAST/DAST/IAST, но целиком заточенная под мобильные платформы — iOS и Android. Если SAST смотрит на исходники, а DAST на уже развернутое веб-приложение, то MAST проверяет мобильное приложение в комплексе: и код, и взаимодействие с API, и поведение на устройстве 📱
Для чего используется MAST?
Мобильные приложения сегодня — это и кошелек, и паспорт, и банковский счет в одном флаконе. В них хранится гигантское количество персональных данных, платёжных реквизитов и токенов доступа. Поэтому MAST нужен, чтобы проверить, как приложение хранит и шифрует данные на телефоне, а еще найти утечки в логах или через сторонние библиотеки и отловить уязвимости во взаимодействии с сервером (например, неправильную валидацию TLS-сертификата) 💀
В отличие от классических тестов, MAST учитывает особенности именно мобильных ОС: доступ к аппаратным ресурсам, права приложений, работу с системным хранилищем и тд
Как это работает?
Обычно MAST объединяет сразу несколько подходов: статический анализ APK/IPA (разбор кода и библиотек), динамический анализ при запуске приложения на устройстве или эмуляторе, плюс интерактивные проверки 😎
Простейший пример: берём мобильное банковское приложение, ставим его на тестовый телефон, запускаем MAST и начинаем гонять сценарии. Агент при этом смотрит, куда приложение лезет, как оно хранит данные, как реагирует на изменение окружения (например, если телефон джейлбрейкнут). Если токен доступа вдруг оказался в открытом виде в логах — привет, уязвимость 🤩
Как использовать MAST?
MAST обычно запускают либо как отдельный сканер (вы загружаете в него APK или IPA и получаете отчёт), либо интегрируют в QA-процессы и CI/CD. Во втором случае это даёт уверенность, что перед релизом в сторе приложение автоматически проверяется на критические баги безопасности 👏
Инструменты для реализации MAST
Здесь тоже есть как опенсорс, так и коммерция 🤑
- Бесплатные и популярные: MobSF, Drozer
- Коммерческие решения: AppScan от HCL, NowSecure, Checkmarx MAST, Veracode Mobile; в России — Positive Technologies (модуль под мобилки в PT AI) и Solar appScreener
MAST — это по сути та же проверка «как у взрослых», но с учётом специфики мобильного софта. И да, мобильные приложения — один из главных фронтов безопасности на ближайшие годы 🙂
#информационная_безопасность #mast
