23 декабря 2021

Семейная тайна: аудиторы Group-IB проверили безопасность приложения FamilyGo

Специалисты компании Group-IB, одного из лидеров в сфере кибербезопасности, провели комплексное исследование защищенности нового мобильного приложения FamilyGo. Приложение совмещает функции мессенджера и GPS локатора, который в режиме реального времени позволяет членам семьи отслеживать местонахождение друг друга, в том числе и детей.

В начале декабря FamilyGo вышло на рынок США и оно уже доступно в магазинах мобильных приложений Google, Apple, Amazon, Samsung и Huawei. По состоянию на ноябрь 2021 года общее количество загрузок на всех платформах превысило 20 000 пользователей, в России число пользователей приближается к 10 000

Разработчики FamilyGo уделили пристальное внимание защищенности приложения. Так для шифрования сообщений используется криптографический протокол защищенного мессенджера Signal (end-to-end encryption). Регистрация в приложении по номеру телефона не требуется — FamilyGo не имеет доступа к контактам пользователей, их невозможно идентифицировать по имени или геолокации. А поскольку нет доступа к чувствительным данным пользователей, в приложении нет рекламы и сбора информации в маркетинговых целях. Для проверки уровня защищенности FamilyGo его создатели привлекли команду аудита Group-IB.

Мы не хотим, чтобы кто-то посторонний видел наше местоположение, знал, где в данный момент находятся наши дети или родители, звонил с незнакомых номеров с навязчивыми предложениями или ненужной информацией. Как создатели продукта, мы хотели проверить, насколько наше приложение неуязвимо. Решающим фактором в выборе компании для нас стал опыт работ Group-IB на международном рынке, проведение исследования на основе общепринятых и стандартизированных методик и, конечно, лучшее сочетание соотношение цена-качество на рынке.

Иван Король

Иван Король

CTO MyFamily 2.0 Inc

Для комплексной проверки FamilyGo специалисты Департамента аудита и консалтинга Group-IB провели анализ защищенности мобильного приложения на платформах iOS и Android. В результате был обнаружен ряд уязвимостей, позволяющих получить доступ к определенным данным пользователей и сессионным данным, но лишь при условии, если устройство физически окажется в руках у злоумышленника.

Получив от специалистов Group-IB подробный технический отчет о ходе тестирования, описание обнаруженных уязвимостей, а также рекомендации по снижению потенциальных угроз безопасности, разработчики MyFamily 2.0 Inc. оперативно устранили все указанные недостатки. После этого аудиторы Group-IB провели повторную оценку и подтвердили корректное выполнение своих рекомендаций.

Мероприятия по повышению защищенности приложения проведены корректно, все значимые уязвимости, обнаруженные в ходе исследования, были устранены. Хотелось бы отметить приверженность разработчиков созданию действительно защищённого приложения и готовность к постоянным улучшениям как к процессу. Функциональность мессенджера направлена в том числе на усиление физической безопасности пользователей и, отрадно видеть, что разработчик видит необходимость в обеспечении безопасности чувствительных данных, которые необходимы для обеспечения заявленной функциональности и доверия к приложению.

Андрей Брызгин

Андрей Брызгин

Руководитель департамента аудита и консалтинга Group-IB

В MyFamily 2.0 Inc. подчеркивают, что после проведенного Group-IB аудита компания планирует и дальше продолжить работу, направленную на непрерывное совершенствование безопасности сервиса.

Согласно прогнозам FamilyGo, глобальный рынок ПО для родительского контроля вырастет с $1 млрд в 2021 году до $2,2 млрд в 2028 году. Рынок устройств GPS-слежения растет примерно такими же темпами и уже оценивается в $3,4 млрд. На фоне подобного лавинообразного роста вопросы конфиденциальности и безопасности являются приоритетными.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте