Семейная тайна: аудиторы Group-IB проверили безопасность приложения FamilyGo

Специалисты компании Group-IB, одного из лидеров в сфере кибербезопасности, провели комплексное исследование защищенности нового мобильного приложения FamilyGo. Приложение совмещает функции мессенджера и GPS локатора, который в режиме реального времени позволяет членам семьи отслеживать местонахождение друг друга, в том числе и детей.

В начале декабря FamilyGo вышло на рынок США и оно уже доступно в магазинах мобильных приложений Google, Apple, Amazon, Samsung и Huawei. По состоянию на ноябрь 2021 года общее количество загрузок на всех платформах превысило 20 000 пользователей, в России число пользователей приближается к 10 000

Разработчики FamilyGo уделили пристальное внимание защищенности приложения. Так для шифрования сообщений используется криптографический протокол защищенного мессенджера Signal (end-to-end encryption). Регистрация в приложении по номеру телефона не требуется — FamilyGo не имеет доступа к контактам пользователей, их невозможно идентифицировать по имени или геолокации. А поскольку нет доступа к чувствительным данным пользователей, в приложении нет рекламы и сбора информации в маркетинговых целях. Для проверки уровня защищенности FamilyGo его создатели привлекли команду аудита Group-IB.

Мы не хотим, чтобы кто-то посторонний видел наше местоположение, знал, где в данный момент находятся наши дети или родители, звонил с незнакомых номеров с навязчивыми предложениями или ненужной информацией. Как создатели продукта, мы хотели проверить, насколько наше приложение неуязвимо. Решающим фактором в выборе компании для нас стал опыт работ Group-IB на международном рынке, проведение исследования на основе общепринятых и стандартизированных методик и, конечно, лучшее сочетание соотношение цена-качество на рынке.

Иван Король

CTO MyFamily 2.0 Inc

Для комплексной проверки FamilyGo специалисты Департамента аудита и консалтинга Group-IB провели анализ защищенности мобильного приложения на платформах iOS и Android. В результате был обнаружен ряд уязвимостей, позволяющих получить доступ к определенным данным пользователей и сессионным данным, но лишь при условии, если устройство физически окажется в руках у злоумышленника.

Получив от специалистов Group-IB подробный технический отчет о ходе тестирования, описание обнаруженных уязвимостей, а также рекомендации по снижению потенциальных угроз безопасности, разработчики MyFamily 2.0 Inc. оперативно устранили все указанные недостатки. После этого аудиторы Group-IB провели повторную оценку и подтвердили корректное выполнение своих рекомендаций.

Мероприятия по повышению защищенности приложения проведены корректно, все значимые уязвимости, обнаруженные в ходе исследования, были устранены. Хотелось бы отметить приверженность разработчиков созданию действительно защищённого приложения и готовность к постоянным улучшениям как к процессу. Функциональность мессенджера направлена в том числе на усиление физической безопасности пользователей и, отрадно видеть, что разработчик видит необходимость в обеспечении безопасности чувствительных данных, которые необходимы для обеспечения заявленной функциональности и доверия к приложению.

Андрей Брызгин

Руководитель департамента аудита и консалтинга Group-IB

В MyFamily 2.0 Inc. подчеркивают, что после проведенного Group-IB аудита компания планирует и дальше продолжить работу, направленную на непрерывное совершенствование безопасности сервиса.

Согласно прогнозам FamilyGo, глобальный рынок ПО для родительского контроля вырастет с $1 млрд в 2021 году до $2,2 млрд в 2028 году. Рынок устройств GPS-слежения растет примерно такими же темпами и уже оценивается в $3,4 млрд. На фоне подобного лавинообразного роста вопросы конфиденциальности и безопасности являются приоритетными.