移動應用安全:2021年的安全漏洞

zktq2021發表於2022-01-10

透過測試、培訓和認真對待應用程式安全,去年可以避免發生許多最大的應用程式洩露事件。

2021年,當全世界都在關注軟體供應鏈攻擊時,另一個領域同樣也受到了圍攻:移動應用程式。

到2020年,移動應用的下載量將超過2000億次,這意味著移動應用面臨著複雜的網路攻擊。Verizon調查的四分之一的公司遭遇過移動或物聯網資料洩露。

回顧一下2021年最嚴重的移動資料洩露事件,我們可以從中看出今年的情況。從Amazon Ring 和Slack等企業巨頭,到美國海關和邊境保護局(CBP),這些移動應用程式入侵成為新聞頭條。

Amazon Ring應用程式洩露資料

2021年1月,Amazon Ring Neighbors 應用程式中的一個安全漏洞洩露了在該應用程式上發帖的使用者的確切位置和地址。儘管使用者帖子是公開的,但該應用程式通常不會顯示準確的位置。該漏洞並未嚮應用程式使用者顯示資料,而是收集了隱藏資料,包括使用者的緯度、經度和家庭住址。儘管自推出以來一直困擾著Amazon Ring Neighbors 和攝像頭的安全問題,但Ring Neighbors應用程式在2020年達到了1000萬使用者。

Slack移動應用程式公開使用者憑據

據去年1月的報導,Android移動應用程式的一個安全漏洞記錄了裝置上的明文使用者憑證。受影響的客戶被要求重置密碼並擦除應用程式資料日誌。Slack號稱擁有超過1200萬的日常使用者。

SHAREit檔案共享應用程式易受遠端程式碼執行攻擊

2月,ZDNet報導稱,下載量超過10億的Android檔案共享應用程式中的漏洞已3個月沒被修復。SHAREit應用程式的開發人員忽略了一個可能被利用在智慧手機上執行惡意程式碼的漏洞。SHAREit最終修復了漏洞,但在此之前,該程式碼已被數百萬人共享。

13款Android應用程式洩露數百萬使用者資料

當移動應用程式開發人員無法確保通訊安全時,會發生什麼?這可能是2021年最大的手機入侵報告之一。今年4月,Check Point Research報告稱,13款流行的Android應用程式洩露了多達1億使用者的資料。開發商未能保護第三方雲服務,導致包括電子郵件、聊天資訊、密碼和照片在內的個人資料洩露。

ParkMobile漏洞影響2100萬使用者

KrebsOnSecurity在黑市上發現了多達2100萬名停車應用程式使用者的賬戶資訊。ParkMobile的開發者隨後發現,第三方軟體洩露了包括客戶電子郵件地址、電話號碼和車牌號在內的個人資料。ParkMobile現在因洩露使用者資料而面臨集體訴訟。

Klarna支付應用程式暴露使用者餘額

5月,Klarna的一款手機銀行應用程式遭遇了安全漏洞,引發了廣大客戶的困惑。這款應用的使用者只是短暫地看到了其他使用者的賬戶資訊,而不是自己的。根據Klarna的披露,人為錯誤導致資訊以一種意想不到的方式被快取。這起事件發生在Klarna獲得6.39億美元新投資後不久。

COVID Passport應用程式暴露使用者

在駭客利用疫情的另一個例子中,加拿大COVID疫苗接種護照移動應用程式Portpass洩露了65萬名使用者的個人資料。任何人都可以訪問其網站上的個人資料,而這款移動應用程式不加密個人資料,而是以明文形式儲存。

漏洞應用造成漏洞邊界

美國海關與邊境保護局(CBP)開發的6款手機護照控制應用程式洩露了多達1000萬名旅行者的個人資訊。一項審計發現,CBP未能掃描2016年至2019年間釋出的91%的應用程式更新來檢測漏洞。

Apple iMessage中的零日漏洞影響了9億臺裝置

作為今年最大的移動漏洞之一,Apple修復了iMessage中的一個0day漏洞,該漏洞使 iPhone、iPad、Watches和MacBooks的所有9億活躍使用者暴露在NSO集團的間諜軟體之下。NSO利用這一漏洞監視政治活動人士。

安全問題

今年許多最大的違規事件都來自我們年復一年看到的相同漏洞。大多數可以透過靜態程式碼安全檢測、動態移動應用程式安全測試、對移動開發人員的更好培訓以及更加重視移動應用程式安全的意願來預防。在通常的嫌疑人中:

今年許多規模最大的入侵事件都來自我們年復一年看到的相同漏洞。 透過動態的移動應用程式安全測試、對移動開發人員進行更好的培訓以及更認真地對待移動應用程式安全的意願,就可以避免大多數問題。

通常的懷疑物件有:

不安全的程式碼允許攻擊者訪問或控制。與 iMessage 的情況一樣,有缺陷的程式碼可以讓攻擊者訪問裝置上的所有內容。

移動應用程式和伺服器之間不安全的網路配置允許駭客進行中間人攻擊。

裝置上的不安全儲存允許惡意使用者或惡意軟體檢查敏感資料儲存。

洩漏資料的應用程式,如Amazon Ring Neighbors應用程式漏洞,都是由於編碼不當造成的,因此需要進行更好的程式碼安全測試。

不安全的配置會透過網路洩漏資料,因為移動應用程式、運營商和伺服器之間的通訊會造成複雜的攻擊面。

對敏感資料的不安全保護,如Klarna漏洞,意味著移動應用程式將密碼和信用卡資訊等敏感資料以明文形式暴露出來。

今年的下一步該怎麼做?

正如在2021年看到的那些移動裝置入侵,給企業造成了數十億美元的收入損失、修復成本、受損的品牌聲譽等等。然而,這類違規行為將持續到2022年。

由於我們自己不安全的編碼實踐和缺乏足夠的測試,許多安全問題是我們自己造成的。安全團隊可以透過在軟體開發的整個生命週期中測試應用程式,更快地發現缺陷及安全漏洞,同時監控生產中的所有移動應用程式,從而顯著降低來年發生移動應用程式重大安全漏洞事故的機率。


文章來源:

https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2851430/,如需轉載,請註明出處,否則將追究法律責任。

相關文章