DROŠĪBA

Mobilo Aplikāciju Drošība 2025: OWASP Top 10 un Aizsardzības Stratēģijas

2025. gada 8. novembris
~14 min lasīšanai
Donaldas Jautžemis
Mobilo aplikāciju drošība 2025

Mobilo aplikāciju drošība 2025. gadā ir kļuvusi par kritiski svarīgu biznesa aspektu. Kiberuzbrukumu skaits pieaug eksponenciāli, un mobilajās ierīcēs tiek glabāti arvien sensitīvāki dati - no bankas informācijas līdz veselības ierakstiem. Šajā visaptverošajā ceļvedī apskatīsim OWASP Mobile Top 10 riskus, efektīvākās aizsardzības stratēģijas un praktiskās rekomendācijas Latvijas biznesam.

Mobilo Aplikāciju Drošības Statistika 2025

75%
aplikāciju ir vismaz viena drošības ievainojamība
4.2M
kiberuzbrukumu dienā pasaulē
280K
vidējās datu noplūdes izmaksas eiro
43%
uzbrukumu vērsti pret mobilajām ierīcēm

Svarīgi zināt

Saskaņā ar IBM 2024-2025 pētījumiem, vidējais laiks datu noplūdes atklāšanai ir 197 dienas, un vidējais laiks tās apturēšanai - vēl 69 dienas. Šajā laikā uzbrucēji var nodarīt milzīgu kaitējumu.

OWASP Mobile Top 10 (2024-2025)

OWASP (Open Web Application Security Project) ir starptautiska bezpeļņas organizācija, kas izstrādā un publicē svarīgākos mobilo aplikāciju drošības standartus. 2024-2025 gada Mobile Top 10 saraksts ietver šādus kritiskos riskus:

M1: Neatbilstoša Akreditācijas Datu Izmantošana

Cieti iekodētas paroles, API atslēgas vai kriptogrāfiskās atslēgas aplikācijas kodā. Uzbrucēji viegli izgūst šos datus caur reverse engineering.

M2: Nedroša Datu Glabāšana

Sensitīvie dati tiek glabāti nešifrētā veidā ierīces atmiņā, datubāzēs vai kopīgos iestatījumos (SharedPreferences, UserDefaults).

M3: Nedroša Autentifikācija/Autorizācija

Vāja paroļu politika, trūkst daudzfaktoru autentifikācijas, neatbilstoša sesiju pārvaldība vai nepareiza piekļuves tiesību kontrole.

M4: Nepietiekama Ievades/Izvades Validācija

SQL injekcijas, XSS uzbrukumi un citas ievainojamības, kas rodas no nepareizas lietotāja ievades pārbaudes.

M5: Nedroša Komunikācija

Datu pārsūtīšana pa nešifrētiem kanāliem (HTTP, nevis HTTPS), nepareiza SSL/TLS sertifikātu validācija.

M6: Nepietiekama Privātuma Kontrole

Pārmērīga personas datu vākšana, trūkst piekrišanas mehānismu, neatbilstība GDPR prasībām.

M7: Nepietiekama Bināra Koda Aizsardzība

Trūkst koda obfuskācijas, tamper detection un anti-debugging aizsardzības, kas ļauj viegli analizēt aplikāciju.

M8: Drošības Nepareiza Konfigurācija

Nepareizi konfigurēti drošības iestatījumi, debug režīmi atstāti ražošanas versijā, pārāk plašas failu piekļuves tiesības.

M9: Nedroša Datu Glabāšana

Nedroši glabātas rezerves kopijas, žurnāli ar sensitīvu informāciju, pagaidu faili ar konfidenciāliem datiem.

M10: Nepietiekama Kriptogrāfija

Vāji šifrēšanas algoritmi, nepareiza atslēgu pārvaldība, novecojušas kriptogrāfiskās bibliotēkas.

Autentifikācijas un Autorizācijas Stratēģijas

Daudzfaktoru Autentifikācija (MFA)

MFA ir obligāta drošām mobilajām aplikācijām. Ieteicamie autentifikācijas faktori:

Faktors Tips Drošības līmenis Lietotāja pieredze
Parole Zināšanas Vidējs Standarta
SMS kods Īpašums Vidējs Laba
TOTP (Authenticator) Īpašums Augsts Laba
Pirkstu nospiedumi Biometrija Augsts Izcila
Face ID Biometrija Augsts Izcila
Aparatūras atslēga (FIDO2) Īpašums Ļoti augsts Vidēja

OAuth 2.0 un PKCE

Mobilajām aplikācijām ieteicams izmantot OAuth 2.0 ar PKCE (Proof Key for Code Exchange) paplašinājumu:

  • Authorization Code Flow + PKCE - drošākā metode mobilajām aplikācijām
  • Īsi access tokeni - 15-60 minūšu derīguma termiņš
  • Refresh tokeni - droša tokenu atjaunināšana bez atkārtotas pieteikšanās
  • Token rotation - jauns refresh tokens ar katru atjaunināšanu

Labākā prakse: Tokenu glabāšana

  • iOS: Izmantojiet Keychain Services ar kSecAttrAccessibleWhenUnlockedThisDeviceOnly
  • Android: Izmantojiet EncryptedSharedPreferences vai Android Keystore
  • Nekad neglabājiet tokenus vienkāršos SharedPreferences vai UserDefaults

Datu Šifrēšana

Šifrēšana Miera Stāvoklī (At Rest)

Visiem sensitīvajiem datiem ierīcē jābūt šifrētiem:

Algoritms Izmantošana Atslēgas garums Rekomendācija
AES-256-GCM Datu šifrēšana 256 bit Ieteicams
ChaCha20-Poly1305 Mobilās ierīces 256 bit Ieteicams
RSA-2048+ Atslēgu apmaiņa 2048+ bit Piemērots
PBKDF2/Argon2 Paroļu hešošana - Ieteicams

Šifrēšana Pārsūtīšanas Laikā (In Transit)

  • TLS 1.3 - jaunākais un drošākais transporta protokols
  • Certificate Pinning - aizsardzība pret MITM uzbrukumiem
  • HSTS - obligāta HTTPS izmantošana
  • Perfect Forward Secrecy - katra sesija ar unikālu atslēgu

SSL/TLS Drošības Kontrolsaraksts

  • Izmanto TLS 1.2 vai 1.3 (ne vecāku)
  • Atspējoti nedroši cipher suite (RC4, DES, 3DES)
  • Ieviests certificate pinning
  • Validēts sertifikāta hostname
  • Neizmanto self-signed sertifikātus ražošanā
  • Sertifikātu derīguma pārbaude

GDPR Atbilstība Mobilajās Aplikācijās

Latvijas un Eiropas Savienības uzņēmumiem GDPR atbilstība ir obligāta. Mobilajām aplikācijām jāatbilst šādām prasībām:

Galvenās GDPR Prasības

Prasība Apraksts Ieviešana
Piekrišana Skaidra un brīvprātīga piekrišana datu vākšanai Opt-in izvēles rūtiņas, granulāra piekrišanas pārvaldība
Datu minimizēšana Vākt tikai nepieciešamos datus Pārskatīt katru vācamo datu lauku
Tiesības piekļūt Lietotājs var saņemt savu datu kopiju Datu eksporta funkcija JSON/PDF formātā
Tiesības tikt aizmirstam Lietotājs var pieprasīt datu dzēšanu Konta un datu dzēšanas funkcija
Datu pārnesamība Datu pārsūtīšana citam pakalpojumu sniedzējam Standartizēts eksporta formāts
Pārkāpumu paziņošana Paziņot 72 stundu laikā par pārkāpumu Incidentu pārvaldības procedūras

GDPR Sodi

Par GDPR pārkāpumiem sodi var sasniegt līdz 20 milj. EUR vai 4% no gada pasaules apgrozījuma (atkarībā no tā, kas lielāks). 2024. gadā Latvijā piemēroto sodu summa pārsniedza 500,000 EUR.

Privātuma Iestatījumi Aplikācijā

  • Privātuma panelis - centralizēta vieta visiem privātuma iestatījumiem
  • Granulāra piekrišana - atsevišķa piekrišana katram datu tipam
  • Piekrišanas atsaukšana - vienkāršs veids atsaukt piekrišanu jebkurā laikā
  • Datu pārskatīšana - iespēja redzēt, kādi dati tiek glabāti
  • Eksports un dzēšana - skaidras pogas šīm funkcijām

Drošības Testēšana

Testēšanas Metodes

Metode Apraksts Cena Latvijā Ieteicamais biežums
SAST Statiskā koda analīze 200-500 EUR Ar katru izlaidumu
DAST Dinamiskā aplikācijas analīze 300-800 EUR Katru mēnesi
Penetrācijas tests Manuāls drošības audits 1,500-5,000 EUR Katru ceturksni/pusgadu
Koda pārskatīšana Drošības ekspertu koda analīze 1,000-3,000 EUR Pirms lieliem atjauninājumiem
Bug Bounty Atlīdzība par atrastām ievainojamībām Mainīga Pastāvīga programma

Automatizēti Rīki

  • MobSF - Mobile Security Framework (bezmaksas)
  • OWASP ZAP - automatizēta drošības skenēšana
  • Burp Suite - profesionāls drošības testēšanas rīks
  • Frida - dinamiskā instrumentēšana un analīze
  • objection - runtime mobilo aplikāciju analīze

Aizsardzība Pret Reverse Engineering

Koda Obfuskācija

Obfuskācija apgrūtina aplikācijas analīzi un reverse engineering:

  • Android: ProGuard (pamata), R8 (ieteicams), DexGuard (profesionāls)
  • iOS: SwiftShield, iXGuard, Arxan
  • Cross-platform: jscrambler (React Native, Flutter)

Runtime Aizsardzība

Runtime Drošības Kontrolsaraksts

  • Root/Jailbreak noteikšana
  • Debugger noteikšana
  • Emulatora noteikšana
  • Tamper detection (koda modifikācijas noteikšana)
  • SSL Certificate Pinning
  • Anti-hooking aizsardzība
  • Integrity checks (aplikācijas integritātes pārbaude)

Drošības Cenas Latvijā

Pakalpojums Pamata cena Vidējā cena Enterprise
Drošības audits 500 EUR 1,500-3,000 EUR 5,000+ EUR
Penetrācijas tests 1,000 EUR 2,500-4,000 EUR 8,000+ EUR
GDPR atbilstības audits 800 EUR 2,000-3,500 EUR 6,000+ EUR
Drošības konsultācija (st.) 50 EUR 80-120 EUR 150+ EUR
Drošības funkciju ieviešana 1,000 EUR 3,000-8,000 EUR 15,000+ EUR

Praktiskās Rekomendācijas

Izstrādes Posms

  1. Threat modeling - identificējiet iespējamos draudus pirms kodēšanas sākuma
  2. Droša kodēšana - izmantojiet OWASP drošas kodēšanas vadlīnijas
  3. Atkarību pārbaude - regulāri pārbaudiet bibliotēku ievainojamības
  4. Koda pārskatīšana - iekļaujiet drošības aspektu code review procesā
  5. CI/CD drošība - integrējiet SAST rīkus build pipeline

Ražošanas Posms

  1. Monitorings - sekojiet anomāliem lietotāju uzvedības modeļiem
  2. Incidentu pārvaldība - sagatavojiet skaidru plānu drošības incidentiem
  3. Regulāri atjauninājumi - ātri reaģējiet uz jaunām ievainojamībām
  4. Backup stratēģija - regulāras rezerves kopijas ar testēšanu
  5. Drošības apmācības - regulāri apmāciet komandu par jaunajiem draudiem

Bieži Uzdotie Jautājumi (FAQ)

Kas ir OWASP Mobile Top 10?
OWASP Mobile Top 10 ir saraksts ar 10 kritiskākajiem mobilo aplikāciju drošības riskiem, ko sastāda OWASP (Open Web Application Security Project) organizācija. 2024-2025 gada versijā iekļauti tādi riski kā nedroša datu glabāšana, nedroša autentifikācija, nedrošs savienojums, neatbilstoša kriptogrāfija un citi.
Cik maksā mobilo aplikāciju drošības audits Latvijā?
Mobilo aplikāciju drošības audita cenas Latvijā svārstās no 500 EUR par pamata automatizētu testēšanu līdz 5,000 EUR+ par visaptverošu penetrācijas testēšanu un koda pārskatīšanu. Vidējā standarta audita cena ir 1,500-3,000 EUR.
Kā nodrošināt GDPR atbilstību mobilajā aplikācijā?
GDPR atbilstību mobilajā aplikācijā nodrošina: skaidras piekrišanas saņemšana pirms datu vākšanas, datu minimizēšana, droša datu šifrēšana, tiesības tikt aizmirstam (datu dzēšana), privātuma politika aplikācijā un datu pārkāpumu paziņošanas procedūras.
Kāda autentifikācijas sistēma ir drošākā mobilajām aplikācijām?
Drošākā autentifikācijas sistēma mobilajām aplikācijām ir daudzfaktoru autentifikācija (MFA), kombinēta ar biometriskajām metodēm (pirkstu nospiedumi, Face ID). Ieteicams izmantot OAuth 2.0 ar PKCE, JWT tokenus ar īsu derīguma termiņu un drošu tokenu glabāšanu Keychain (iOS) vai Keystore (Android).
Kā aizsargāt mobilo aplikāciju pret reverse engineering?
Aizsardzībai pret reverse engineering izmanto: koda obfuskāciju (ProGuard Android, SwiftShield iOS), tamper detection mehānismus, root/jailbreak noteikšanu, SSL pinning, kritiskās loģikas pārvietošanu uz serveri un regulāru drošības auditu. Svarīgi atcerēties, ka 100% aizsardzība nav iespējama.
Vai ir obligāti šifrēt visus datus mobilajā aplikācijā?
Obligāti jāšifrē sensitīvie dati: lietotāja akreditācijas dati, personas dati, maksājumu informācija, veselības dati un jebkura informācija, kas ietilpst GDPR sfērā. Ieteicams izmantot AES-256 šifrēšanu datiem miera stāvoklī un TLS 1.3 datu pārsūtīšanai.

Secinājumi

Mobilo aplikāciju drošība 2025. gadā nav greznība, bet gan nepieciešamība. Pieaugošais kiberuzbrukumu skaits, stingrākas GDPR prasības un augošās lietotāju cerības liek uzņēmumiem investēt drošībā jau no pašas aplikācijas izstrādes sākuma.

Galvenās rekomendācijas Latvijas biznesam:

  • Integrējiet drošību no sākuma - "Security by Design" princips
  • Izmantojiet OWASP Mobile Top 10 kā kontrolsarakstu
  • Investējiet regulārā testēšanā - vismaz reizi ceturksnī
  • Nodrošiniet GDPR atbilstību - tas nav tikai sods, bet arī reputācija
  • Apmāciet komandu - drošība sākas ar cilvēkiem

Drošība nav vienreizējs projekts - tas ir pastāvīgs process. Sāciet ar drošības auditu un pakāpeniski uzlabojiet savas aplikācijas aizsardzību.

Nepieciešams profesionāls drošības audits?

Sazinieties ar mums bezmaksas konsultācijai - novērtēsim jūsu aplikācijas drošības stāvokli un piedāvāsim optimālu risinājumu.

Saņemt bezmaksas konsultāciju