Aplikácie majú často prístup k údajom, ktoré nepotrebujú, alebo oprávňujú používať hardvér a služby, ktoré nemajú nič spoločné s tým, čo robia. Nedávna štúdia ukazuje, že problémy sú omnoho rozšírenejšie, ako sme si mysleli.
Vedci spoločnosti HP preskúmali medzi októbrom a novembrom viac ako 2 000 aplikácií pre iOS a zistili, že deväť z desiatich aplikácií malo vážne zraniteľné miesta. Problémy sa pohybovali od príliš veľkého množstva povolení, nezašifrovaných údajov a neistého prenosu údajov. Hry nemusia mať prístup k svojmu adresáru a v skutočnosti nie je dôvod, aby aplikácia pre počasie mala povolenie na odosielanie e-mailov. Ak aplikácia nechráni údaje, ku ktorým má prístup, alebo ak nie je správne zabezpečené, ako používa hlavné súčasti operačného systému, zariadenie je náchylné na útok.
Mobilné zariadenia sú „hlavnými cieľmi útoku, pričom zraniteľné aplikácie poskytujú prístup k citlivým údajom, “ uviedol Mike Armistead, viceprezident a generálny riaditeľ skupiny podnikových bezpečnostných produktov spoločnosti HP Fortify.
V štúdii vedci použili automatizovaný nástroj binárnej a dynamickej analýzy HP Fortify on Demand na testovanie 2 107 aplikácií vybraných z 22 rôznych kategórií vrátane produktivity a sociálnych sietí. Aj keď sa štúdia zamerala na vlastné podnikové aplikácie, nejde o úsek predpokladať, že podobné problémy s bezpečnosťou a ochranou súkromia sa vyskytujú aj v aplikáciách, ktoré by sme našli v obchodoch Apple App Store alebo Google Play.
Nechránia údaje
Takmer všetky - 97 percent testovaných aplikácií malo prístup k najmenej jednému „zdroju súkromných informácií“, ako sú osobné adresáre a stránky sociálnych médií, alebo využili pripojenie Bluetooth alebo Wi-Fi. Znepokojujúce je, že ohromujúcich 86% týchto aplikácií nemalo zavedené primerané bezpečnostné opatrenia na zabezpečenie ochrany súkromných údajov.
Štúdia zistila, že približne 75 percent aplikácií používa šifrovanie nesprávne pri ukladaní údajov na mobilné zariadenia. Nechránené údaje zahŕňali heslá, osobné informácie, tokeny relácií, dokumenty, protokoly rozhovorov a fotografie.
Bolo upokojujúce vidieť, že iba 18 percent aplikácií testovaných v štúdii poslalo užívateľské mená a heslá cez HTTP, zatiaľ čo ostatné aplikácie používali SSL / HTTPS. Avšak z tých, ktorí používajú zabezpečený režim prenosu, takmer 20 percent malo nesprávne implementácie SSL / HTTPS. To znamená, že údaje sú stále náchylné na odhalenie škodlivými útočníkmi.
Vývojári musia urýchliť postup
Všeobecne platí, že mobilné operačné systémy - ako Android, tak iOS - sa zlepšujú v explicitnom popise povolení, ktoré aplikácia vyžaduje. Existujú tiež prísnejšie pokyny o tom, aký typ dátových aplikácií má prístup. Bremeno však zostáva na užívateľovi, aby preskúmal zoznam povolení, porozumel dôsledkom a rozhodol, že žiadosti sú neprimerané.
Lepší scenár by bol, keby vývojári zabudovali do aplikácií bezpečnosť a súkromie od začiatku. Potrebujú premýšľať o tom, ako ich aplikácie interagujú s inými aplikáciami a operačným systémom. Musia zvážiť, ako môžu ich aplikácie bezpečne pristupovať k údajom.
Podniky musia prejsť z „rýchleho uvedenia na trh“ na „bezpečné a rýchle uvedenie na trh“, uviedla spoločnosť HP.