Возможно, вы не слышали о Сергее Тошине, но вы должны знать его творчество.
Тошин, 23-летний исследователь безопасности из Москвы, специализируется в основном на безопасности мобильных приложений. Зная, как выглядят различные уязвимости мобильной безопасности, Тошин создал специальный сканер уязвимостей мобильного приложения Android, чтобы быстро и автоматически находить уязвимости в коде приложения, сказал он TechCrunch.
Сканер работает, декомпилируя приложение Android и последовательно просматривая исходный код – как это сделал бы человек – и обнаруживая возможные недостатки в коде, в которых может быть вызвана уязвимость. По словам Тошина, для этого требуется набор правил, которые эффективно описывают различные виды уязвимостей, и поиск уязвимого кода, который удовлетворяет этим условиям.
По завершении работы сканер выдает отчет с описанием уязвимостей в коде.
Именно с помощью этого сканера, который он разработал в течение последних двух лет, он смог ускорить процесс поиска ошибок.
«Чтобы принять участие в розыгрыше багов, я бы просто загрузил приложение и скопировал уязвимости, указанные в отчете об уязвимостях», – сказал он.
В августе он раскрыл подробности уязвимости Android, которая позволяла вредоносным приложениям красть конфиденциальные данные пользователей из других приложений на том же устройстве. Две недели спустя он опубликовал подробности об ошибке в приложении TikTok для Android, которая могла привести к захвату учетных записей пользователей.
Это всего лишь две из сотен ошибок безопасности, о которых он сообщил компаниям в рамках их программ поощрения ошибок, позволяющих исследователям предупреждать компании о потенциальных проблемах, получая при этом деньги за свои выводы.
«Мне пришло в голову запустить стартап и начать помогать другим компаниям находить уязвимости в их мобильных приложениях», – сказал Тошин TechCrunch.
Один из отчетов сканера уязвимостей для Android-приложения. (Изображение: Oversecured)
Так была основана Oversecured. Но то, как Тошин финансировал свой стартап, было несколько нетрадиционным.
Что необычно в Oversecured, так это не в том, что он самофинансируется, а в том, что он был запущен на основе продукта, который фактически окупился. Используя свой сканер, Тошин за год заработал более 1 миллиона $ в виде вознаграждений за ошибки, во многом благодаря программе вознаграждений Google за безопасность, которая платит исследователям безопасности гораздо больше за ошибки безопасности, обнаруженные в приложениях Android с более чем 100 миллионами установок.
Избыточное обеспечение пока не приносит прибыли, но Тошин также не использовал венчурное финансирование. В настоящее время в компании работает около пяти разработчиков, а также дизайнеры и переводчики, все усилия сосредоточены на создании и улучшении сканера.
Автозагрузка пока поддерживает только сканирование приложений для Android. Тошин сказал, что сканер открыт для охотников за ошибками и исследователей безопасности, которые могут заплатить за сканирование каждого приложения – при этом пять сканирований будут отправлены бесплатно.
Но Тошин делает большую ставку на то, чтобы позволить корпоративным клиентам покупать доступ к сканеру и интегрировать его со своими инструментами разработки. На прошлой неделе Oversecured запустила предложение B2B, которое позволяет разработчикам приложений интегрировать сканер непосредственно в свои существующие процессы разработки приложений, чтобы находить ошибки во время кодирования.
Тошин сказал, что корпоративные клиенты скоро получат поддержку сканирования исходного кода Swift для приложений iOS.
Oversecured присоединяется к ряду других известных компаний по обеспечению безопасности приложений. Но Тошин уверен, что его технология стоит в толпе.
«Важно найти все», – сказал он.
Прочитайте больше: