У дома Securitywatch Повечето мобилни приложения имат сериозни пропуски в сигурността

Повечето мобилни приложения имат сериозни пропуски в сигурността

Видео: По закону ⚡️ Барбоскины ⚡️ Сборник мультфильмов 2019 (Ноември 2024)

Видео: По закону ⚡️ Барбоскины ⚡️ Сборник мультфильмов 2019 (Ноември 2024)
Anonim

Приложенията често имат достъп до данни, от които не се нуждаят, или разрешения за използване на хардуер и услуги, които нямат нищо общо с това, което правят. Скорошно проучване показва, че проблемите са много по-широко разпространени, отколкото мислехме.

Изследователите на HP разгледаха повече от 2000 приложения за iOS между октомври и ноември и откриха, че девет от десет приложения имат сериозни уязвимости, показва проучването, публикувано миналия месец. Проблемите варираха от прекалено много разрешения, некодирани данни и несигурно предаване на данни. Игрите не трябва да имат достъп до вашата адресна книга и наистина няма причина приложението за времето да има разрешение да изпраща имейл. Ако приложение не защитава данните, до които има достъп, или правилно защити как използва основните компоненти на операционната система, устройството става уязвимо за атака.

Мобилните устройства са „основни цели за атака, като уязвимите приложения осигуряват достъп до чувствителни данни“, заяви Майк Армистед, вицепрезидент и генерален мениджър на групата продукти за корпоративна сигурност в HP's Fortify.

В проучването изследователите са използвали автоматизирания двигател на двоични и динамични анализи на HP Fortify on Demand за тестване на 2 107 приложения, избрани от 22 различни категории, включително производителност и социални мрежи. Въпреки че проучването се фокусира върху персонализирани корпоративни приложения, не е трудно да се предполага, че подобни приложения за сигурността и поверителността са налице в приложенията, които бихме намерили в Apple App Store или Google Play.

Не защита на данните

Почти всички - 97 процента от тестваните приложения са имали достъп до поне един „личен източник на информация“, като лични адресни книги и страници в социалните медии, или са се възползвали от Bluetooth или Wi-Fi свързаност. Тревожното е, че изумителните 86 процента от тези приложения не разполагат с подходящи мерки за сигурност, за да гарантират, че частните данни са защитени, установи проучването.

Приблизително 75 процента от приложенията използват криптиране неправилно при съхранение на данни на мобилни устройства, установи проучването. Незащитените данни включват пароли, лична информация, маркери за сесии, документи, дневници за чат и снимки.

Успокояващо беше да се види, че само 18 процента от тестваните в проучването приложения изпращаха потребителски имена и пароли през HTTP, докато останалите приложения използват SSL / HTTPS. От тези, които използват защитен начин на предаване, обаче, близо 20 процента са имали неправилни реализации на SSL / HTTPS. Това означава, че данните все още са уязвими, за да бъдат подушени от злонамерени нападатели.

Разработчиците трябва да се активизират

Като цяло мобилните операционни системи - Android и iOS - стават все по-добри в изричното описание на това, какви разрешения заявява приложението. Има и по-строги указания за това какъв тип приложения за данни могат да имат достъп. Все пак тежестта е върху потребителя да разгледа списъка с разрешения, да разбере последиците и да вземе решение, че заявките са неразумни.

По-добрият сценарий би бил, ако разработчиците вградиха сигурност и поверителност в приложенията от самото начало. Те трябва да помислят как взаимодействат приложенията им с други приложения и операционната система. Те трябва да обмислят как приложенията им да имат сигурен достъп до данни.

Предприятията трябва да преминат от „бързо на пазар“, към „сигурно и бързо на пазара“, заявиха от HP.

Повечето мобилни приложения имат сериозни пропуски в сигурността