ПАО "Группа Позитив" (головная компания группы Positive Technologies, занимающейся разработкой решений в области информационной безопасности) планирует сформировать рынок услуг по защите мобильных приложений от реверс-инжиниринга стоимостью от 1,5 млрд рублей и занять на нем ключевое положение. Об этом заявила руководитель группы исследовательских проектов Positive Technologies Ольга Ринглер.

Недостаточная защищенность кода остается одной из самых распространенных проблем современных мобильных приложений. Это позволяет злоумышленникам без значительных затрат проводить реверс-инжиниринг таких приложений. В результате они могут взламывать приложения, искать в них уязвимости, создавать клоны приложений для использования в мошеннических схемах и т.п.

"Подавляющее большинство современных приложений - это сложные системы с большой поверхностью для атак, - пояснила Ринглер. - Эти программы, как правило, могут хранить персональные, учетные, платежные данные, поэтому всегда находятся в фокусе внимания атакующих".

Для решения этой проблемы предлагается использовать сервис защиты от обратной разработки PT MAZE, разработанный компанией. Он должен сделать более дорогими для злоумышленников процессы реверс-инжиниринга мобильных приложений.

"Реверс-инжиниринг невозможно запретить или исключить: хакер всегда сможет модифицировать приложения, читать их память или использовать фрагменты кода на свое усмотрение, - сказал руководитель разработки PT Maze Николай Анисеня. - Однако можно усложнить этот процесс, обеспечив хорошую защиту кода - PT MAZE превращает приложение, образно говоря, в непроходимый лабиринт для злоумышленников".

По его словам, хакеры, подсчитав денежные, экспертные и временные затраты на успешный взлом, скорее всего откажутся от идеи искать выход из такого лабиринта и сместят свой интерес в сторону более легких целей.

"По нашим оценкам, хороший протектор может увеличить стоимость реверс-инжиниринга на порядки, то есть в десятки или сотни раз, - считает Анисеня. - Такая оценка складывается из соотношения стоимости автоматизированной атаки и атаки с привлечением специалиста уровня senior и выше".

При этом он отметил, что хотя оценка очень приблизительная, но все же дает понимание, что речь идет об удорожании реверс-инжиниринга даже не в разы, а именно на порядки.

Ринглер добавила, что, по оценке Positive Technologies, PT MAZE может быть интересен любой компании, которая имеет мобильное приложение, задействованное в ключевых бизнес-процессах. В первую очередь, банкам, маркетплейсам, ритейлу, разработчикам мобильных игр и т.п.

Сервис реализуется путем поставки сертификата или по договору оказания услуг. Цена сервиса на один год для одного мобильного приложения на двух операционных системах (Android и iOS) составляет от 2,8 млн рублей.

По словам Анисеня, в настоящее время кроме PT MAZE в РФ нет подобных российских сервисов. Впрочем, есть технические альтернативы.

"Например, компания может сделать выбор в пользу веб-приложений и полный отказ от мобильных приложений, - сказал он. - Конечно, это защитит от атак через мобильные приложения, но по большей части переведет противостояние в плоскость веба. Заниматься своей собственной внутренней разработкой похожих защит для компаний будет крайне дорого и на должном уровне доступно очень малому числу организаций".

Positive Technologies является одним из крупнейших российских разработчиков ИБ-решений. Выручка компании в 2024 году составила 24,5 млрд рублей, показатель EBITDA - 6,5 млрд рублей, чистая прибыль - 3,7 млрд рублей. Управленческие показатели EBITDAC (управленческий показатель, который отличается от показателя EBITDA на разницу между выручкой и отгрузками и на сумму капитализированных расходов - затрат на разработку и других видов расходов) и N