Утверждение

Approov (ранее CriticalBlue) — шотландская компания-разработчик программного обеспечения, базирующаяся в Эдинбурге , которая в основном работает в двух областях технологий: защита от ботнетов и автоматическое предотвращение угроз для мобильного бизнеса. ^{[ 4 ]} а также инструменты и услуги оптимизации программного обеспечения для платформ Android и Linux .

Approov недавно опубликовал результаты исследования, показывающие, что 92% самых популярных приложений для банковских и финансовых услуг содержат легко извлекаемые секреты, такие как ключи API, которые можно использовать в скриптах и ​​ботах для атаки на API и кражи данных, нанося ущерб потребителям и учреждениям, которым они доверяют. . Лаборатория Approov Mobile Threat Lab загрузила, расшифровала и просканировала 200 лучших приложений финансовых услуг в США, Великобритании, Франции и Германии из Google Play Store, исследовав в общей сложности 650 уникальных приложений. Девяносто два процента приложений раскрыли ценные секреты, которые можно использовать, а двадцать три процента приложений раскрыли чрезвычайно конфиденциальные секреты. ^{[ 5 ]}

В 2001 году Дэвид Стюарт, Ричард Тейлор и Бен Хаунселл основали компанию по разработке программного обеспечения под названием CriticalBlue в Эдинбурге, Шотландия. ^{[ 6 ] [ 7 ]} В 2002 году компания выиграла премию Smart Scotland Award за «Инструменты автоматизации электронного проектирования для улучшения проектирования требовательных мультимедийных приложений». ^{[ 8 ]} Approov получил начальное финансирование в размере 2 миллионов долларов и собрал основную команду в 2003 году. ^{[ 9 ] [ 10 ] [ 11 ]}

В мае 2008 года Аппров присоединился к Multicore Association , генеральный директор которой Дэвид Стюарт в конечном итоге стал сопредседателем рабочей группы по практикам многоядерного программирования в 2009 году. ^{[ 12 ] [ 13 ]} В сентябре 2008 года компания получила финансирование в размере 4 миллионов долларов от венчурных капиталистов и корпоративных инвесторов из Европы, Кремниевой долины и Японии, а также начала тесное сотрудничество с Toshiba Corporation . ^{[ 14 ] [ 15 ]}

В течение 2010 года Approov расширила поддержку продуктов Prism для MIPS , Cavium и Freescale . ^{[ 16 ] [ 17 ] [ 18 ]} В 2011 году компания добавила поддержку DSP TI C66x и процессоров Intel Core второго поколения . ^{[ 19 ] [ 20 ]} В 2012 году компания расширила спектр поддерживаемых платформ Renesas . ^{[ 21 ]}

В 2013 году Approov переориентировался на мобильные Android и встроенные Linux . платформы ^{[ 22 ]}

Approov продолжила работу на рынке оптимизации мобильного программного обеспечения, одновременно приступив к анализу возможностей безопасности мобильных данных, после чего в 2016 году был запущен сервис аутентификации приложений Approov. ^{[ 23 ]} Approov — это служба аутентификации приложений, которая позволяет серверным модулям API точно идентифицировать, что запросы выполняются законным мобильным приложением. ^{[ 24 ]}

Кристофер Сандовал, автор журнала Nordic API, провел полностью независимую проверку Approov в феврале 2017 года и отметил, что «... угроза общедоступным API в мобильном пространстве реальна, опасна и часто неэффективно смягчается». ^{[ 25 ]} Оценив сервис Approov, он пришел к выводу, что «его подход к защите приложений в мобильной среде является новым, и то, как CriticalBlue делает это, возможно, является одним из наиболее безопасных способов сделать это. Хотя использование облачных сервисов для аутентификации часто весьма сомнительно, их реализация в данном случае выглядит очень надежной». ^{[ 25 ]}

При этом отмечая, что «... предотвращение тех проблем обратного проектирования, которые Approov призван остановить, жизненно важно» ^{[ 25 ]} он рекомендует компаниям рассмотреть возможную экономию от интеграции. ^{[ 25 ]}

По словам Стивена Паддефата, архитектора бизнес-решений в Racing Post : ^{[ 26 ]}

В Racing Post у нас исторически были проблемы со сбором данных на нашем сайте, и мы полагались на механизмы «постфактум», такие как блокировка IP. [В декабре 2016 года мы] находимся на грани раскрытия нашего API широкой публике, и мы, по понятным причинам, сдержанны, учитывая ценность наших данных. Мы изучили рынок, и только Approov предложил необходимую нам надежную аутентификацию и безопасность мобильных приложений [...] Теперь мы абсолютно уверены, что сможем запустить общедоступный API, не опасаясь несанкционированного доступа.

Билл Бьюкенен , профессор вычислительной техники Киберакадемии Эдинбургского университета Нейпира , заявил: «[мы] проанализировали Approov как на предмет его криптографической стойкости, так и на предмет начального теста на проникновение. Текущая система имеет очень хорошие уровни надежности, которые значительно обеспечивают снижение риска в ключевых областях применения». ^{[ 26 ]} Технология аутентификации мобильных приложений Approov была описана на мероприятии AppsWorld в Лондоне в 2016 году как «запрограммированный план достижения успеха вашего приложения, позволяющий избежать затрат на простой службы, рисков распределенных атак и потери облачных ресурсов из-за незаконных запросов приложений от автоматических ботнетов». ." ^{[ 27 ]} Согласно официальному документу Approov на веб-сайте продукта, «служба Approov использует уникальный криптографический протокол «запрос-ответ» между мобильным приложением и… облачным сервером аттестации. Локальная библиотека аттестации легко интегрируется в мобильное приложение. ... При запуске мобильного приложения инициируется процесс аттестации, чтобы доказать службе аттестации, что это подлинное приложение, с использованием одноразового невоспроизводимого криптографического хэша кода приложения». ^{[ 28 ]}

Впервые выпущенная в 2009 году, Prism динамически отслеживает программные приложения во время выполнения и собирает данные, которые можно использовать для анализа и выявления причин низкой производительности. ^{[ 29 ]} Prism получила награду «Best of Show» на конференции по встраиваемым системам в Кремниевой долине в 2009 году. ^{[ 30 ]}

Брайон Мойер в книге «Реальные многоядерные встраиваемые системы » утверждает, что цель Prism — «обеспечить среду анализа, исследования и проверки для разработки встроенного программного обеспечения с использованием многоядерных архитектур». ^{[ 31 ]} Мойер также описывает интерфейс Prism как набор интегрированных представлений в графическом интерфейсе, которые отображают взаимодействие между потоками, зависимости данных, анализ кэша, а также конвейер микропроцессора. ^{[ 31 ]}

Матасса и Домейка в книге Break Away с процессорами Intel Atom также заявляют, что Prism — это «набор инструментов, предназначенный для оптимизированной разработки программного обеспечения для многоядерных и/или многопоточных архитектур». ^{[ 32 ]} Упоминая те же представления анализа в графическом интерфейсе Prism, описанные Мойером, они также описывают подход динамической трассировки, при котором «следы пользовательского программного приложения извлекаются либо из симулятора базового ядра процессора, либо с помощью инструментального подхода, когда приложение динамически инструментируется для получения необходимых данных». ^{[ 32 ]}

Завершенный в 2003 году и коммерчески выпущенный в 2004 году, Approov's Cascade представляет собой синтезатор C to RTL . ^{[ 33 ] [ 34 ] [ 35 ]} Ричард Тейлор и Дэвид Стюарт из Approov представили главу « Настраиваемые встраиваемые процессоры» , в которой Cascade описывается как «решение, [которое] позволяет перенести функциональные возможности программного обеспечения, реализованные на существующем главном процессоре, на автоматически... генерируемый сопроцессор». ^{[ 36 ]} Они заявили, что это реализуется как автоматизированный поток проектирования из реализации встроенного программного обеспечения в сопроцессор, описанный в RTL. ^{[ 36 ]} Они определили разгрузку вычислительно-интенсивных алгоритмов от основного процессора как основное использование такого сопроцессора. ^{[ 36 ]} Cascade был удостоен награды «Лучший инструмент проектирования беспроводных сетей» в 2003 году по версии журнала Wireless Systems Design .

• Патент Великобритании 2393811 , Ричард М. Тейлор, «Конфигурируемая микропроцессорная архитектура, включающая прямое подключение исполнительных устройств», выдан 29 сентября 2004 г., передан CriticalBlue   Ltd.

• Патент Великобритании 2394085 , Ричард М. Тейлор, «Генерация кода для конфигурируемого микропроцессора», выдан 23 марта 2005 г., передан CriticalBlue   Ltd.

• Патент Великобритании 2393809 , Ричард М. Тейлор, «Автоматическая конфигурация микропроцессора», выдан 7 апреля 2004 г., передан CriticalBlue   Ltd.

• Патент Великобритании 2393812 , Ричард М. Тейлор, «Метод выполнения инструкций микропроцессора для использования параллелизма», выдан 7 апреля 2004 г., передан CriticalBlue   Ltd.

• Патент Великобритании 2393810 , Ричард М. Тейлор, «Автоматическая конфигурация микропроцессора под влиянием программы ввода», выдан 7 апреля 2004 г., передан CriticalBlue   Ltd.

1. Хаунселл, Бен и Тейлор, Ричард. Синтез сопроцессора: новая методология ускорения встроенного программного обеспечения , Материалы конференции и выставки «Проектирование, автоматизация и тестирование в Европе» (DATE'04), 16 февраля 2004 г. Проверено 23 июня 2014 г.
2. Тейлор, Ричард и др. Автоматизированное размещение кэша данных для встроенных VLIW ASIP , code-isss, стр. 39–44, Третья международная конференция IEEE/ACM/IFIP по кодированию аппаратного/программного обеспечения и системному синтезу (CODES+ISSS'05), 19 сентября 2005 г. Проверено 23. Июнь 2014.
3. Морган, Пол и Тейлор, Ричард. Кодирование инструкций ASIP для уменьшения энергии и площади , DAC '07 Материалы 44-й ежегодной конференции по автоматизации проектирования, страницы 797-800, 4 июня 2007 г. Проверено 23 июня 2014 г.

< https://www.scmagazine.com/news/application-security/financial-apps-google-play-leaked-data >