Video: therunofsummer (Listopad 2024)
Aplikace mají často přístup k datům, která nepotřebují, nebo oprávnění k používání hardwaru a služeb, které nemají nic společného s tím, co dělají. Nedávná studie ukazuje, že problémy jsou mnohem rozšířenější, než jsme si mysleli.
Podle studie zveřejněné minulý měsíc vědci HP prozkoumali více než 2 000 aplikací pro iOS od října do listopadu a zjistili, že devět z deseti aplikací mělo vážné zranitelnosti. Problémy se pohybovaly od příliš velkého počtu oprávnění, nešifrovaných dat a nejistého přenosu dat. Hry nemusí mít přístup k vašemu adresáři a ve skutečnosti není důvod, aby aplikace pro počasí měla oprávnění k odesílání e-mailů. Pokud aplikace nechrání data, ke kterým má přístup, nebo pokud není řádně zabezpečeno, jak používá základní součásti operačního systému, stane se zařízení náchylné k útoku.
Mobilní zařízení jsou „hlavním cílem útoku, přičemž zranitelné aplikace poskytují přístup k citlivým datům, “ uvedl Mike Armistead, viceprezident a generální ředitel skupiny podnikových bezpečnostních produktů ve společnosti Fortify společnosti HP.
Ve studii vědci použili automatizovaný nástroj binární a dynamické analýzy HP Fortify on Demand k testování 2 107 aplikací, vybraných z 22 různých kategorií, včetně produktivity a sociálních sítí. Studie se sice zaměřila na vlastní podnikové aplikace, ale není to úsek předpokládat, že podobné problémy s bezpečností a ochranou soukromí existují v aplikacích, které bychom našli v obchodech Apple App Store nebo Google Play.
Chrání data
Téměř všechny - 97 procent, z testovaných aplikací získaly přístup k alespoň jednomu „zdroji soukromých informací“, jako jsou osobní adresáře a stránky sociálních médií, nebo využily připojení Bluetooth nebo Wi-Fi. Znepokojující je, že ohromujících 86 procent z těchto aplikací nemělo zavedena odpovídající bezpečnostní opatření k zajištění ochrany soukromých údajů.
Studie zjistila, že přibližně 75 procent aplikací nesprávně použilo šifrování při ukládání dat na mobilní zařízení. Nechráněná data zahrnovala hesla, osobní informace, tokeny relací, dokumenty, protokoly chatu a fotografie.
Bylo uklidňující vidět, že pouze 18 procent aplikací testovaných ve studii poslalo uživatelská jména a hesla přes HTTP, zatímco zbývající aplikace používaly SSL / HTTPS. Z těch, kteří používají zabezpečený režim přenosu, však téměř 20 procent mělo nesprávné implementace SSL / HTTPS. To znamená, že data jsou stále zranitelná, aby mohla být čichána nebezpečnými útočníky.
Vývojáři musí zvýšit
Obecně se mobilní operační systémy - Android i iOS - lépe informují o tom, jaká oprávnění aplikace aplikace vyžaduje. Existují také přísnější pokyny ohledně toho, jaký typ datových aplikací má přístup. Je však na uživateli, aby se podíval na seznam oprávnění, porozuměl důsledkům a rozhodl, že žádosti jsou nepřiměřené.
Lepší scénář by byl, kdyby vývojáři zabudovali do aplikací zabezpečení a soukromí od samého začátku. Musí přemýšlet o tom, jak jejich aplikace spolupracují s jinými aplikacemi a operačním systémem. Musí zvážit, jak jejich aplikace mohou bezpečně přistupovat k datům.
Podniky musí přejít z „rychle na trh“, „na bezpečné a rychlé uvedení na trh“, uvedla společnost HP.
