Video: Derivaatan sovellustehtävät (Lokakuu 2024)
Sovelluksilla on usein pääsy tietoihin, joita he eivät tarvitse, tai lupa käyttää laitteita ja palveluita, joilla ei ole mitään tekemistä sen kanssa, mitä he tekevät. Äskettäinen tutkimus osoittaa, että ongelmat ovat paljon laajempia kuin luulimme.
Viime kuussa julkaistun tutkimuksen mukaan HP: n tutkijat tarkastelivat yli 2000 iOS-sovellusta lokakuun ja marraskuun välisenä aikana ja havaitsivat, että yhdeksällä kymmenestä sovelluksesta oli vakavia haavoittuvuuksia. Ongelmat vaihtelivat siitä, että niillä oli liian monta käyttöoikeutta, salaamatonta tietoa ja tietojen siirtämistä epävarmasti. Pelien ei tarvitse olla pääsyä osoitekirjaasi, eikä sääsovelluksella ole oikeastaan mitään syytä saada lupaa lähettää sähköpostia. Jos sovellus ei suojaa tietoja, joihin sillä on pääsy, tai varmista asianmukaisesti, kuinka se käyttää käyttöjärjestelmän ydinkomponentteja, laite altistuu hyökkäyksille.
Mobiililaitteet ovat "hyökkäyksen pääkohteita, ja haavoittuvat sovellukset tarjoavat pääsyn arkaluonteisiin tietoihin", sanoi Mike Armistead, HP: n Fortify -yrityksen tietoturvatuoteryhmän varatoimitusjohtaja ja toimitusjohtaja.
Tutkimuksessa tutkijat käyttivät HP Fortify on Demand -automaattista binaarista ja dynaamista analyysimoottoria testaamaan 2 107 sovellusta, jotka valittiin 22 eri kategoriasta, mukaan lukien tuottavuus ja sosiaaliset verkostot. Vaikka tutkimuksessa keskityttiin räätälöityihin yrityssovelluksiin, ei ole syytä olettaa, että vastaavia tietoturva- ja yksityisyysongelmia esiintyy sovelluksissa, jotka löytäisimme Apple App Storesta tai Google Playsta.
Ei suojaa tietoja
Lähes kaikki - 97 prosenttia testatuista sovelluksista käyttivät vähintään yhtä "yksityistä tietolähdettä", kuten henkilökohtaisia osoitekirjoja ja sosiaalisen median sivuja, tai käyttivät hyväkseen Bluetooth- tai Wi-Fi-yhteyttä. Huolestuttavaa on se, että huikealla 86 prosentilla näistä sovelluksista ei ollut asianmukaisia turvatoimia yksityisten tietojen suojaamisen varmistamiseksi, tutkimus totesi.
Noin 75 prosenttia sovelluksista käytti salausta väärin tallentaessaan tietoja mobiililaitteille, tutkimus havaitsi. Suojaamaton data sisälsi salasanat, henkilökohtaiset tiedot, istunnon tunnukset, asiakirjat, chat-lokit ja valokuvat.
Oli vakuuttavaa nähdä, että vain 18 prosenttia tutkimuksessa testatuista sovelluksista lähetti käyttäjätunnuksia ja salasanoja HTTP: n kautta, kun taas loput sovellukset käyttivät SSL / HTTPS: ää. Niistä, jotka käyttävät suojattua lähetystapaa, lähes 20 prosentilla oli virheelliset SSL / HTTPS-toteutukset. Tämä tarkoittaa, että haitalliset hyökkääjät voivat edelleen haistaa tietoja.
Kehittäjien on tehostettava
Yleensä mobiili käyttöjärjestelmät - sekä Android että iOS - ovat parantumassa selkeästi kuvailemaan, mitkä käyttöoikeudet sovellus pyytää. Lisäksi on tiukempia ohjeita siitä, minkä tyyppisiä tietoja sovellukset voivat käyttää. Käyttäjällä on kuitenkin edelleen taakka tarkastella lupaluetteloa, ymmärtää sen vaikutukset ja päättää, että pyynnöt ovat kohtuuttomia.
Parempi skenaario olisi, jos kehittäjät rakentaisivat tietoturvan ja yksityisyyden sovelluksiin alusta alkaen. Heidän on pohdittava, kuinka heidän sovelluksensa ovat vuorovaikutuksessa muiden sovellusten ja käyttöjärjestelmän kanssa. Heidän on pohdittava, kuinka heidän sovelluksensa voivat turvallisesti käyttää tietoja.
Yritysten on vaihdettava "nopeasti markkinoilta" turvallisiin ja nopeasti markkinoille ", HP sanoi.
