Перейти к содержанию

Обнаружены изменения в трассах вызовов

Описание

По результатам сравнительного анализа графов вызовов (call graphs / трасс вызовов) установлено, что структура и последовательность обращений из кода мобильного приложения (МП) к функциям/методам Программного модуля Банка России (ПМ БР) изменились по сравнению с эталонной (ранее утвержденной) версией приложения.

Выявленные изменения могут включать:

  • Появление новых методов или функций в цепочках вызовов.
  • Удаление ранее существовавших методов или функций из цепочек вызовов.
  • Изменение порядка и направления вызовов.
  • Появление новых ветвлений или изменение промежуточных звеньев.

Такие изменения могут повлиять на безопасность и корректность взаимодействия с ПМ БР и требуют дополнительного анализа.

Результат:

Данное заключение подтверждает, что с точки зрения контроля трасс вызовов, новая версия мобильного приложения не соответствует требованию неизменности взаимодействия с ПМ БР. Изменения, внесенные в код приложения, повлияли на зафиксированные пути обращения к Программному модулю Банка России. В отчете о сравнении соответствующие поля должны отражать наличие расхождений (например, application_equal: false, graph_nodes_changed: X, где X — число выявленных изменений).

Рекомендации

Выявление изменений в трассах вызовов ПМ БР требует следующих действий:

  1. Подробный анализ выявленных изменений:

    • Проведите детальное исследование всех новых и измененных методов и функций.
    • Определите, влияют ли эти изменения на криптографическую защиту, целостность или безопасность взаимодействия с ПМ БР.

  2. Согласование с испытательной лабораторией и регуляторами:

    • Передайте подробные результаты анализа в аккредитованную испытательную лабораторию для получения официального заключения.
    • При необходимости проведите согласование с Банком России и/или регулятором для подтверждения допустимости изменений.

  3. Документирование и архивирование изменений:

    • Зафиксируйте подробности выявленных изменений и решения о допуске или недопуске новой версии МП.
    • Сохраните артефакты анализа и соответствующие отчёты в архиве согласно внутренним политикам организации.

  4. Корректировка и повторная проверка:

    • При признании изменений недопустимыми внесите необходимые корректировки в код приложения.
    • Повторите процесс анализа до получения подтверждения неизменности трасс вызовов.

  5. Общая оценка безопасности:

    • Помимо контроля трасс вызовов ПМ БР, убедитесь в проверке других аспектов безопасности (управление разрешениями, сетевая безопасность, обработка данных и т.д.) в рамках комплексной оценки безопасности мобильного приложения.

Ссылки

  1. Методическое пособие по контролю неизменности трасс вызовов ПМ БР.
  2. OWASP Mobile Security Testing Guide.
  3. Secure Coding Guidelines for Android Applications.
  4. Secure Coding Guidelines for iOS Applications.
К началу