移動應用安全:2021年的安全漏洞
透過測試、培訓和認真對待應用程式安全,去年可以避免發生許多最大的應用程式洩露事件。
2021年,當全世界都在關注軟體供應鏈攻擊時,另一個領域同樣也受到了圍攻:移動應用程式。
到2020年,移動應用的下載量將超過2000億次,這意味著移動應用面臨著複雜的網路攻擊。Verizon調查的四分之一的公司遭遇過移動或物聯網資料洩露。
回顧一下2021年最嚴重的移動資料洩露事件,我們可以從中看出今年的情況。從Amazon Ring 和Slack等企業巨頭,到美國海關和邊境保護局(CBP),這些移動應用程式入侵成為新聞頭條。
Amazon Ring應用程式洩露資料
2021年1月,Amazon Ring Neighbors 應用程式中的一個安全漏洞洩露了在該應用程式上發帖的使用者的確切位置和地址。儘管使用者帖子是公開的,但該應用程式通常不會顯示準確的位置。該漏洞並未嚮應用程式使用者顯示資料,而是收集了隱藏資料,包括使用者的緯度、經度和家庭住址。儘管自推出以來一直困擾著Amazon Ring Neighbors 和攝像頭的安全問題,但Ring Neighbors應用程式在2020年達到了1000萬使用者。
Slack移動應用程式公開使用者憑據
據去年1月的報導,Android移動應用程式的一個安全漏洞記錄了裝置上的明文使用者憑證。受影響的客戶被要求重置密碼並擦除應用程式資料日誌。Slack號稱擁有超過1200萬的日常使用者。
SHAREit檔案共享應用程式易受遠端程式碼執行攻擊
2月,ZDNet報導稱,下載量超過10億的Android檔案共享應用程式中的漏洞已3個月沒被修復。SHAREit應用程式的開發人員忽略了一個可能被利用在智慧手機上執行惡意程式碼的漏洞。SHAREit最終修復了漏洞,但在此之前,該程式碼已被數百萬人共享。
13款Android應用程式洩露數百萬使用者資料
當移動應用程式開發人員無法確保通訊安全時,會發生什麼?這可能是2021年最大的手機入侵報告之一。今年4月,Check Point Research報告稱,13款流行的Android應用程式洩露了多達1億使用者的資料。開發商未能保護第三方雲服務,導致包括電子郵件、聊天資訊、密碼和照片在內的個人資料洩露。
ParkMobile漏洞影響2100萬使用者
KrebsOnSecurity在黑市上發現了多達2100萬名停車應用程式使用者的賬戶資訊。ParkMobile的開發者隨後發現,第三方軟體洩露了包括客戶電子郵件地址、電話號碼和車牌號在內的個人資料。ParkMobile現在因洩露使用者資料而面臨集體訴訟。
Klarna支付應用程式暴露使用者餘額
5月,Klarna的一款手機銀行應用程式遭遇了安全漏洞,引發了廣大客戶的困惑。這款應用的使用者只是短暫地看到了其他使用者的賬戶資訊,而不是自己的。根據Klarna的披露,人為錯誤導致資訊以一種意想不到的方式被快取。這起事件發生在Klarna獲得6.39億美元新投資後不久。
COVID Passport應用程式暴露使用者
在駭客利用疫情的另一個例子中,加拿大COVID疫苗接種護照移動應用程式Portpass洩露了65萬名使用者的個人資料。任何人都可以訪問其網站上的個人資料,而這款移動應用程式不加密個人資料,而是以明文形式儲存。
漏洞應用造成漏洞邊界
美國海關與邊境保護局(CBP)開發的6款手機護照控制應用程式洩露了多達1000萬名旅行者的個人資訊。一項審計發現,CBP未能掃描2016年至2019年間釋出的91%的應用程式更新來檢測漏洞。
Apple iMessage中的零日漏洞影響了9億臺裝置
作為今年最大的移動漏洞之一,Apple修復了iMessage中的一個0day漏洞,該漏洞使 iPhone、iPad、Watches和MacBooks的所有9億活躍使用者暴露在NSO集團的間諜軟體之下。NSO利用這一漏洞監視政治活動人士。
安全問題
今年許多最大的違規事件都來自我們年復一年看到的相同漏洞。大多數可以透過靜態程式碼安全檢測、動態移動應用程式安全測試、對移動開發人員的更好培訓以及更加重視移動應用程式安全的意願來預防。在通常的嫌疑人中:
今年許多規模最大的入侵事件都來自我們年復一年看到的相同漏洞。 透過動態的移動應用程式安全測試、對移動開發人員進行更好的培訓以及更認真地對待移動應用程式安全的意願,就可以避免大多數問題。
通常的懷疑物件有:
不安全的程式碼允許攻擊者訪問或控制。與 iMessage 的情況一樣,有缺陷的程式碼可以讓攻擊者訪問裝置上的所有內容。
移動應用程式和伺服器之間不安全的網路配置允許駭客進行中間人攻擊。
裝置上的不安全儲存允許惡意使用者或惡意軟體檢查敏感資料儲存。
洩漏資料的應用程式,如Amazon Ring Neighbors應用程式漏洞,都是由於編碼不當造成的,因此需要進行更好的程式碼安全測試。
不安全的配置會透過網路洩漏資料,因為移動應用程式、運營商和伺服器之間的通訊會造成複雜的攻擊面。
對敏感資料的不安全保護,如Klarna漏洞,意味著移動應用程式將密碼和信用卡資訊等敏感資料以明文形式暴露出來。
今年的下一步該怎麼做?
正如在2021年看到的那些移動裝置入侵,給企業造成了數十億美元的收入損失、修復成本、受損的品牌聲譽等等。然而,這類違規行為將持續到2022年。
由於我們自己不安全的編碼實踐和缺乏足夠的測試,許多安全問題是我們自己造成的。安全團隊可以透過在軟體開發的整個生命週期中測試應用程式,更快地發現缺陷及安全漏洞,同時監控生產中的所有移動應用程式,從而顯著降低來年發生移動應用程式重大安全漏洞事故的機率。
文章來源:
https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2851430/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 針對性攻擊與移動安全漏洞
- 海雲安應用安全測試、移動應用安全、開發安全再次上榜
- web 應用常見安全漏洞一覽Web
- 25-移動應用安全需求分析與安全保護工程
- 每個 node 應用可能存在的 timing-attack 安全漏洞
- WEB應用常見15種安全漏洞一覽Web
- 移動應用安全常用元件Soot、Flowdroid簡介&基本使用元件
- 2022年的優先事項:自動化移動應用程式安全測試
- 新移動框架中企業自建應用的來源是【移動輕應用管理】框架
- 新形勢下的移動安全應變之道
- web應用常見7大安全漏洞,淺析產生的原因!Web
- 移動應用效能優化優化
- 13-網路安全漏洞防護技術原理與應用
- 資料為王時代 愛加密如何深耕移動應用安全?加密
- 移動端車牌識別的應用
- iOS加固原理與常見措施:保護移動應用程式安全的利器iOS
- 求助:求移動應用自動釋出到應用市場的方法或思路
- CVE安全漏洞的理解
- 網站的安全漏洞網站
- 泰國加快移動支付應用
- 深度解析移動應用安全的四大常見問題及解決方案
- 智慧且整合的端到端移動應用程式安全解決方案——Quixxi簡介UI
- 智慧城市的物聯網和移動應用
- 基於HTML5的移動Web應用HTMLWeb
- 安卓移動應用程式碼安全加固系統設計及實現安卓
- iOS移動應用安全加固:保護您的App免受惡意攻擊的重要步驟iOSAPP
- 巨好用的移動app安全測試工具分享,移動app測試需要多少費用?APP
- 移動CRM都有哪些應用場景?
- 2021移動應用發展趨勢
- Liftoff:移動應用趨勢報告
- 移動應用程式開發簡介!
- 應用內購買:推動移動收入的洞察報告
- 移動app安全測試工具好物分享,移動app安全測試報告費用標準APP測試報告
- SVG圖片在移動端的應用解決方案SVG
- Facebook註冊移動應用以投放應用廣告
- 如何將智慧園區移動應用成為超級應用?
- 超級app+輕應用,移動應用崛起新契機APP
- 移動安全-iOS(三)iOS