Российская компания Variti запустила сервис для защиты мобильных приложений

Тип предложения / Предлагаю продукцию, услугу

Рост производительности мобильных устройств, появление бюджетных моделей и развитие сетей мобильного доступа в Интернет за последние годы способствовали бурному развитию рынка мобильных приложений.

Большинство из них являются онлайновыми «витринами» и используют в своей работе API, который необходим для реализации основного функционала, а также авторизации пользователей. Персональные данные всегда ценились злоумышленниками, поэтому API мобильных приложений все чаще становятся объектами злонамеренных автоматизированных действий:

• попыток парсинга;

• получения доступа к аккаунтам пользователей с помощью, например, bruteforce и credential stuffing;

• создания «паразитирующих» сервисов, использующих логику API в своих целях.

Одним из методов борьбы с подобными угрозами является статистический анализ и блокировка IP-адресов, с которых поступило аномально большое количество запросов. Такой подход имеет существенные недостатки. С одной стороны, метод не позволяет выявить использование больших распределенных ботнетов, которые дают злоумышленникам возможность оставаться в рамках «нормального» количества запросов с одного IP.

Другой метод защиты – изменение кода приложения и добавление к его запросам в API специального «заголовка», который позволяет отличить, запросы легитимного мобильного приложения от всех остальных. Главный недостаток подобного решения в том, что измененное приложение должно оказаться у всех легитимных пользователей, для чего потребуется его обязательное обновление у всей аудитории.

Основные преимущества защиты API мобильных приложений Variti:

• Вердикт бот/пользователь по каждому запросу вместо статистики по IP-адресам.

• Отсутствие необходимости изменений в коде приложения.

• «Встроенная» защита от DDoS-атак на уровнях L3 и L4.