לאפליקציות לעתים קרובות יש גישה לנתונים שאינם זקוקים להן, או הרשאות להשתמש בחומרה ובשירותים שלא קשורות כלל למה שהם עושים. מחקר שנערך לאחרונה מראה כי הבעיות נפוצות בהרבה ממה שחשבנו.
חוקרי HP בדקו יותר מ -2, 000 אפליקציות iOS בין אוקטובר לנובמבר וגילו כי לתשעה מתוך עשר אפליקציות יש פגיעויות קשות, כך עולה מהמחקר שפורסם בחודש שעבר. הבעיות נעו בין הרשאות רבות מדי, נתונים לא מוצפנים והעברת נתונים בצורה לא בטוחה. למשחקים אין צורך לקבל גישה לפנקס הכתובות שלך, ובאמת אין שום סיבה שלאפליקציית מזג האוויר תהיה הרשאה לשלוח דוא"ל. אם אפליקציה אינה מגנה על הנתונים אליהם יש גישה, או מאבטחת כראוי כיצד היא משתמשת ברכיבי מערכת ההפעלה הליבה, המכשיר הופך לפגיע להתקפה.
מכשירים ניידים הם "יעדים עיקריים להתקפה, כאשר יישומים פגיעים מספקים גישה לנתונים רגישים", אמר מייק ארמיסטד, סגן נשיא ומנהל כללי בקבוצת מוצרי האבטחה הארגוניים ב- Fortify של HP.
במחקר החוקרים השתמשו במנוע ניתוח בינארי ודינאמי אוטומטי של HP Fortify on Demand כדי לבדוק 2, 107 אפליקציות שנבחרו מתוך 22 קטגוריות שונות, כולל פרודוקטיביות ורשתות חברתיות. בעוד שהמחקר התמקד ביישומי ארגונים מותאמים אישית, אין זה מתיחה להניח שנושאי אבטחה ופרטיות דומים קיימים באפליקציות שהיינו מוצאים ב- Apple App Store או ב- Google Play.
לא מגן על נתונים
כמעט כל 97% מהיישומים שנבדקו ניגשו לפחות למקור מידע פרטי אחד, כגון ספרי כתובות אישיות ודפי מדיה חברתית, או ניצלו קישוריות Bluetooth או Wi-Fi. מה שמדאיג הוא של- 86 אחוז מהיישומים הללו לא היו אמצעי אבטחה נאותים בכדי להבטיח שהנתונים הפרטיים הוגנו, מצא המחקר.
המחקר מצא כי כ 75 אחוז מהיישומים השתמשו בהצפנה בצורה שגויה בעת אחסון נתונים במכשירים ניידים. נתונים לא מוגנים כללו סיסמאות, מידע אישי, אסימוני הפעלה, מסמכים, יומני צ'אט ותצלומים.
זה היה מרגיע לראות שרק 18 אחוזים מהיישומים שנבדקו במחקר שלחו שמות משתמש וסיסמאות דרך HTTP בזמן שהיישומים שנותרו השתמשו ב- SSL / HTTPS. עם זאת, מבין אלה המשתמשים במצב שידור מאובטח, כמעט 20 אחוזים היו בעלי יישומי SSL / HTTPS שגויים. פירוש הדבר שהנתונים עדיין חשופים להתרחפות על ידי תוקפים זדוניים.
מפתחים צריכים לצעוד
באופן כללי, מערכות הפעלה סלולריות - Android ו- iOS כאחד - משתכללות בתיאור מפורש אילו הרשאות האפליקציה מבקשת. ישנן הנחיות מחמירות יותר לאיזה סוג של יישומי נתונים יכולים לגשת. עם זאת, הנטל מוטל על המשתמש להסתכל על רשימת ההרשאות, להבין את ההשלכות ולקבל את ההחלטה שהבקשות אינן הגיוניות.
התרחיש הטוב יותר היה אם המפתחים יבנו את האבטחה והפרטיות באפליקציות כבר מההתחלה. הם צריכים לחשוב כיצד האפליקציות שלהם מתקשרים עם אפליקציות אחרות ומערכת ההפעלה. הם צריכים לשקול כיצד היישומים שלהם יכולים לגשת למידע מאובטח.
עסקים צריכים לעבור מ"מהיר לשוק "ל"בטוח ומהיר לשוק", אמרה HP.
