CyberbezpieczeństwoCIOProgramowanie

Aplikacje mobilne dziurawe jak rzeszoto

Nawet trzy czwarte aplikacji mobilnych dla systemów Apple iOS, jak i Google Android ma błędy w zabezpieczeniach, które mogą być wykorzystane m.in. do wykradania danych użytkownika – alarmują specjaliści z firmy Positive Technologies. W większości błędy te związane są z obsługą pamięci urządzenia mobilnego.

Aplikacje mobilne dziurawe jak rzeszoto

Eksperci z firmy Positive Technologies przyjrzeli się temu, w jaki sposób developerzy aplikacji mobilnych traktują kwestie bezpieczeństwa – swoje wnioski zebrali w wydanym właśnie raporcie „Vulnerabilities and Threats in Mobile Applications 2019”. Podczas analizy popularnych aplikacji przeznaczonych wiodące platformy mobilne wykryto wiele różnych luk w zabezpieczeniach. Szczególnie niepokojąco wyglądała kwestia tego, w jaki sposób aplikacje chronią powierzane im lub generowane za ich pośrednictwem dane użytkownika.

Różnego rodzaju podatności związane z wykorzystaniem danych użytkowników wykryto w aż 76% wszystkich analizowanych aplikacji. Oznacza to, że w trzech na cztery aplikacje mobilne dane są chronione w sposób niedostateczny. Naraża to użytkowników m.in. na wyciek haseł, prywatnych plików (w tym zdjęć i dokumentów), ale także na możliwość śledzenia pozycji i historii lokalizacji.

Luki zaklasyfikowane do kategorii „poważne zagrożenie” łącznie znaleziono w 38% aplikacji przeznaczonych dla środowiska iOS i 43% programów dla platformy Android.

Dodatkowo, w co trzeciej (35%) spośród sprawdzonych aplikacji znaleziono również błędy dotyczące sposobu przesyłania poufnych danych. W podobnej grupie aplikacji wykryto również problemy z poprawną obsługą szyfrowanych połączeń – zwykle błędy polegały na nieprawidłowej implementacji funkcji automatycznego wygaszania sesji. Stosunkowo często, co w co piątej (20%) aplikacji zauważono również błędy polegające m.in. na przechowywaniu poufnych danych w kodzie źródłowym aplikacji oraz braku lub błędnym zaimplementowaniu zabezpieczeń przed atakami typu brute-force.

Znaczna część powyższych błędów została zaklasyfikowana przez ekspertów Positive Technologies jako „luki stanowiące średnie zagrożenie”. Jednocześnie, aż 29% przeanalizowanych aplikacji posiadało m.in. podatności wynikające z nieprawidłowej konfiguracji lub implementacji komunikacji międzyprocesowej. Luki te uznano za „poważne zagrożenie” ponieważ pozwalają one zdalnemu „napastnikowi” na przejęcie danych przetwarzanych przez aplikację. Specjaliści z Positive Technologies zwracają też uwagę, że problem ten teoretycznie dotyczy głównie aplikacji dla system Android, ponieważ Apple nie pozwala na używanie tej funkcji w oprogramowaniu dla iOS. Eksperci zwracają jednak uwagę na fakt, że błędy tego rodzaju znajdowano również w aplikacjach na platformę iOS, choć potencjalnie nie były one w żaden sposób osiągalne dla potencjalnych napastników.

Z raportu Positive Technologies dowiadujemy się również, że luki zaklasyfikowane do kategorii „poważne zagrożenie” łącznie znaleziono w 38% aplikacji przeznaczonych dla środowiska iOS i 43% programów dla platformy Android. Co więcej, aż 89% wszystkich wykrytych luk potencjalnie może być wykorzystanych do stworzenia złośliwego oprogramowania, które będzie automatycznie atakować aplikacje mobilne narażając w ten sposób użytkownika na ryzyko wycieku danych. Autorzy raportu sugerują w tej sytuacji użytkownikom, by uważnie dobierali oprogramowanie, którego używają w swoich urządzeniach mobilnych i starannie analizowali uprawnienia, których przyznania domagają się aplikacje – jeśli aplikacja chce uzyskać dostęp do zasobów lub funkcji, które nie wydają się potrzebne do jej działania, lepiej z niej zrezygnować. Eksperci zdecydowanie odradzają również instalowanie aplikacji, które nie są dostępne w oficjalnych serwisach z oprogramowaniem dla Androida/iOS.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *