Senior Frontend Security Engineer (Liveness Detection System)

BTS Digital - это IT-компания, которая создаёт цифровые продукты, упрощающие жизнь людей. Мы развиваем экосистему сервисов для повседневных задач, бизнеса и государственного сектора.

Нашими продуктами : Aitu Messenger, Aitu Koshelek 2.0, Aitu Passport и Системой мгновенных платежей уже пользуются более 9 миллионов человек.

Мы растём и усиливаем команду, поэтому сейчас находимся в поиске Senior Frontend Security Engineer (Liveness Detection System), который хочет работать с масштабными продуктами и решениями, влияющими на миллионы пользователей.

Обязанности:

• Разработка защищенного frontend для системы liveness detection

• Имплементация механизмов защиты от injection-атак на клиентской стороне

• Детектирование и блокировка попыток подмены видеопотока и виртуальных камер

• Мониторинг целостности браузерного окружения и обнаружение переопределенных методов браузера

• Разработка антиотладочных механизмов и защиты от автоматизации

• Интеграция с backend для валидации клиентских данных

Требования:

• JavaScript Security: глубокое понимание безопасности на стороне клиента

  • Детектирование переопределения нативных методов (prototype pollution, method override detection)

  • Proxy/Reflect API для мониторинга объектов

  • Object.freeze, Object.seal для защиты критичных объектов

• WebRTC Security: валидация MediaStream и MediaDevices API

  • Детектирование виртуальных камер (OBS, ManyCam, virtual devices)

  • Анализ метаданных видеопотока (constraints, capabilities, deviceId)

  • Fingerprinting реальных устройств vs виртуальных

• Browser Fingerprinting:

  • Canvas/WebGL fingerprinting для детектирования эмуляции

  • Audio context fingerprinting

  • Анализ расхождений в браузерном окружении

• Anti-Debugging:

  • Детектирование DevTools (debugger statements, timing attacks)

  • Обфускация и защита критичного кода

  • Защита от Puppeteer/Selenium/Playwright

• Разработка пользовательского интерфейса для liveness

• Знание техник атак

• Injection attacks: XSS, DOM-based attacks, prototype pollution

• Video injection: подмена getUserMedia, MediaStream manipulation

• Replay attacks: детектирование предзаписанного видео

• Bot detection и anti-automation техники

• 5+ лет опыта коммерческой разработки frontend

• Практический опыт закрытия уязвимостей по результатам penetration testing фронтенда

• Опыт работы с WebRTC и Media Capture API

Будет плюсом:

• Опыт с WebAssembly для критичных security-компонентов

• Знание криптографии (Web Crypto API, challenge-response)

• Опыт с Computer Vision библиотеками (TensorFlow.js, face-api.js)

• Понимание биометрических стандартов (ISO/IEC 30107 Presentation Attack Detection)

• Deepfake detection основы

• Сертификаты по информационной безопасности

• Опыт проведения security audits фронтенд-приложений

• Знание техник обхода защит для понимания векторов атак

• Опыт разработки для мобильных приложений (IOS, Android)

• Знание bridge-коммуникации между JavaScript и нативным кодом (JavaScriptCore, WebViewJavascriptBridge)

• Детектирование jailbreak/root на устройствах через JavaScript API

• опыт работы с Angular

• Инструменты обфускации и защиты кода

• TypeScript

• WebRTC, MediaStream API

• Web Crypto API

• WebAssembly (опционально)

• Возможность работать в гибридном или удаленном формате со стандартным графиком
• Уютный офис в г.Астана и г.Алматы
• Возможность стать частью IT компании, которая создает цифровые решения, меняющие жизнь людей к лучшему