Більшість мобільних додатків мають серйозні недоліки в безпеці

Додатки часто мають доступ до даних, які їм не потрібні, або дозволу на використання апаратних засобів та служб, що не мають нічого спільного з тим, що вони роблять. Недавнє дослідження показує, що проблеми набагато ширші, ніж ми думали.

Дослідники HP вивчали понад 2000 програм для iOS у період з жовтня по листопад та виявили, що дев'ять із десяти додатків мали серйозні вразливості, згідно з дослідженням, опублікованим минулого місяця. Проблеми полягали в тому, що занадто багато дозволів, незашифровані дані та безпечна передача даних. Іграм не потрібно мати доступ до вашої адресної книги, і насправді немає причин, щоб програма з погодою мала дозвіл на надсилання електронної пошти. Якщо додаток не захищає дані, до яких він має доступ, або належним чином захищає їх використання основних компонентів операційної системи, пристрій стає вразливим для атаки.

Мобільні пристрої є "головною мішенню для нападу. Уразливі додатки забезпечують доступ до конфіденційних даних", - сказав Майк Армістед, віце-президент і генеральний менеджер групи продуктів безпеки підприємства в компанії HP Fortify.

У ході дослідження дослідники використовували автоматизований двигун бінарного та динамічного аналізу HP Fortify on Demand для тестування 2, 107 додатків, вибраних із 22 різних категорій, включаючи продуктивність та соціальні мережі. Незважаючи на те, що дослідження було зосереджено на спеціальних корпоративних програмах, не можна вважати, що подібні проблеми безпеки та конфіденційності є у додатках, які ми знаходимо в Apple App Store або Google Play.

Не захист даних

Майже всі - 97 відсотків перевірених додатків отримали доступ до принаймні одного "приватного джерела інформації", наприклад, особистих адресних книг та сторінок соціальних мереж, або скористалися Bluetooth або Wi-Fi. Турбує те, що у приголомшливих 86 відсотків цих додатків не було вжито належних заходів безпеки для забезпечення захисту приватних даних.

Приблизно 75 відсотків додатків використовували шифрування неправильно під час зберігання даних на мобільних пристроях, показало дослідження. Незахищені дані включали паролі, особисту інформацію, маркери сеансу, документи, журнали чату та фотографії.

Було заспокійливо бачити, що лише 18 відсотків програм, перевірених у дослідженні, надсилали імена користувачів та паролі через HTTP, а решта додатків використовували SSL / HTTPS. Однак серед тих, хто використовує захищений режим передачі, майже 20 відсотків мали неправильні реалізації SSL / HTTPS. Це означає, що дані все ще вразливі до того, що їх нюхають зловмисники.

Розробникам потрібно активізуватися

Як правило, мобільні операційні системи - Android та iOS - вдосконалюються, коли чітко описуються, які дозволи запитує програма. Існують також суворіші вказівки щодо того, який тип даних може отримати доступ. Однак на користувача все ж лягає тягар перегляду списку дозволів, розуміння наслідків та прийняття рішення про те, що запити необґрунтовані.

Кращий сценарій був би, якби розробники вбудовували безпеку та конфіденційність у додатки з самого початку. Їм потрібно подумати про те, як їх додатки взаємодіють з іншими програмами та операційною системою. Вони повинні розглянути, як їх програми можуть безпечно отримувати доступ до даних.

Компанії повинні перейти від "швидкого до ринкового", до "безпечного та швидкого на ринок", - заявив HP.