Videó: TA TE TAWH AN NEK CIANG (November 2024)
Az alkalmazások gyakran hozzáférnek olyan adatokhoz, amelyekre nincs szükségük, vagy engedélyek olyan hardver és szolgáltatások használatához, amelyeknek semmi köze nincs ahhoz, amit csinálnak. Egy nemrégiben készült tanulmány szerint a problémák sokkal elterjedtebbek, mint gondoltuk.
A múlt hónapban közzétett tanulmány szerint a HP kutatói több mint 2000 iOS alkalmazást vizsgáltak október és november között, és megállapították, hogy a tíz alkalmazás közül kilencnél volt súlyos sebezhetőség. A problémák a túl sok jogosultsággal, a titkosítatlan adatokkal és az adatok nem biztonságos továbbításáig terjedtek. A játékoknak nem kell hozzáférniük a címjegyzékhez, és valójában nincs ok arra, hogy az időjárási alkalmazás engedélyt kapjon e-mailek küldésére. Ha egy alkalmazás nem védi a hozzáféréssel rendelkező adatokat, vagy nem biztosítja a megfelelő alapvető operációs rendszer-összetevők felhasználásának módját, akkor az eszköz támadásoknak van kitéve.
A mobil eszközök "elsődleges célpontjai a támadásoknak, az érzékeny alkalmazások hozzáférést biztosítanak az érzékeny adatokhoz" - mondta Mike Armistead, a HP Fortify vállalati biztonsági termékcsoportjának alelnöke és vezérigazgatója.
A tanulmányban a kutatók a HP Fortify on Demand automatizált bináris és dinamikus elemző motort használtak 2210 alkalmazás tesztelésére, amelyeket 22 különböző kategóriából választottak ki, ideértve a termelékenységet és a szociális hálózatokat is. Míg a tanulmány az egyedi vállalati alkalmazásokra összpontosított, nem túl hosszú a feltételezés, hogy hasonló biztonsági és adatvédelmi kérdések vannak az alkalmazásokban, amelyeket az Apple App Store-ban vagy a Google Play-ben találnánk.
Nem védi az adatokat
Szinte az összes - a tesztelt alkalmazások 97 százaléka - legalább egy "privát információforráshoz", például személyes címjegyzékhez és közösségi média oldalakhoz jutott, vagy kihasználta a Bluetooth vagy a Wi-Fi kapcsolat lehetőségét. Aggasztó, hogy az alkalmazások megdöbbentő 86% -ánál nem voltak megfelelő biztonsági intézkedések a személyes adatok védelmének biztosítása érdekében - találták a tanulmányban.
A tanulmány megállapította, hogy az alkalmazások kb. 75% -a hibásan használt titkosítást az adatok tárolásakor a mobileszközökön. A nem védett adatok tartalmaztak jelszavakat, személyes információkat, munkamenet-tokeneket, dokumentumokat, csevegési naplókat és fényképeket.
Nyugtató volt látni, hogy a tanulmányban tesztelt alkalmazásoknak csak 18% -a küldött felhasználóneveket és jelszavakat HTTP-n keresztül, míg a többi alkalmazás SSL / HTTPS-t használt. A biztonságos átviteli módot használók közül azonban csaknem 20 százalékuk hibás volt az SSL / HTTPS megvalósításban. Ez azt jelenti, hogy az adatokat továbbra is veszélyezteti a rosszindulatú támadók szimatolása.
A fejlesztőknek fokozniuk kell
Általánosságban elmondható, hogy a mobil operációs rendszerek - akár az Android, akár az iOS - egyre jobban tudják leírni, hogy az alkalmazás mely engedélyeket kéri. Szigorúbb iránymutatások vannak arról is, hogy milyen típusú adatokhoz férhetnek hozzá az alkalmazások. A felhasználónak azonban továbbra is tehernek kell lennie az engedélyek listájának áttekintésében, a következmények megértésében és annak eldöntésében, hogy a kérelmek indokolatlanok-e.
A jobb forgatókönyv az lenne, ha a fejlesztők a biztonságot és az adatvédelmet az elején építsék be az alkalmazásokba. Gondolkodniuk kell arra, hogy alkalmazásuk hogyan működik együtt más alkalmazásokkal és az operációs rendszerrel. Meg kell fontolniuk, hogy alkalmazásaik hogyan tudnak biztonságosan hozzáférni az adatokhoz.
A vállalkozásoknak át kell állniuk a "gyors piacról" a "biztonságos és gyors piacra" - mondta a HP.
