Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Октября 2024)
Приложения часто имеют доступ к данным, которые им не нужны, или разрешения на использование оборудования и служб, которые не имеют ничего общего с тем, что они делают. Недавнее исследование показывает, что проблемы гораздо более распространены, чем мы думали.
Исследователи HP исследовали более 2000 приложений для iOS в период с октября по ноябрь и обнаружили, что девять из десяти приложений имели серьезные уязвимости, согласно исследованию, опубликованному в прошлом месяце. Проблемы заключались в слишком большом количестве разрешений, незашифрованных данных и небезопасной передаче данных. Играм не нужно иметь доступ к вашей адресной книге, и приложение погоды не имеет никаких оснований для того, чтобы иметь разрешение на отправку электронной почты. Если приложение не защищает данные, к которым оно имеет доступ, или не обеспечивает надлежащую защиту того, как оно использует основные компоненты операционной системы, устройство становится уязвимым для атак.
Мобильные устройства - «главные цели для атаки, а уязвимые приложения предоставляют доступ к конфиденциальным данным», - сказал Майк Армистед, вице-президент и генеральный менеджер группы продуктов для корпоративной безопасности в HP Fortify.
В ходе исследования ученые использовали механизм автоматического двоичного и динамического анализа HP Fortify on Demand для тестирования 2107 приложений, выбранных из 22 различных категорий, включая производительность и социальные сети. Несмотря на то, что исследование было сосредоточено на пользовательских корпоративных приложениях, нетрудно предположить, что аналогичные проблемы безопасности и конфиденциальности присутствуют в приложениях, которые можно найти в Apple App Store или Google Play.
Не защита данных
Почти все - 97 процентов протестированных приложений получили доступ по крайней мере к одному «частному источнику информации», такому как личные адресные книги и страницы социальных сетей, или воспользовались возможностью подключения по Bluetooth или Wi-Fi. Что беспокоит, так это то, что в ошеломляющих 86 процентах этих приложений не было адекватных мер безопасности для обеспечения защиты личных данных, показало исследование.
Исследование показало, что примерно 75 процентов приложений неправильно использовали шифрование при хранении данных на мобильных устройствах. Незащищенные данные включали пароли, личную информацию, токены сеансов, документы, журналы чата и фотографии.
Отрадно было видеть, что только 18 процентов приложений, протестированных в исследовании, отправляли имена пользователей и пароли по HTTP, а остальные приложения использовали SSL / HTTPS. Однако из тех, кто использует безопасный режим передачи, почти 20 процентов имели неправильные реализации SSL / HTTPS. Это означает, что данные по-прежнему уязвимы для злоумышленников.
Разработчики должны активизировать
В целом, мобильные операционные системы - как Android, так и iOS - начинают лучше описывать, какие разрешения запрашивает приложение. Существуют также более строгие рекомендации относительно того, к какому типу приложений данных можно получить доступ. Однако пользователь по-прежнему обязан смотреть на список разрешений, понимать последствия и принимать решение о том, что запросы являются необоснованными.
Лучшим сценарием было бы, если бы разработчики встроили безопасность и конфиденциальность в приложения с самого начала. Им нужно подумать о том, как их приложения взаимодействуют с другими приложениями и операционной системой. Им нужно подумать, как их приложения могут безопасно получать доступ к данным.
Компаниям необходимо перейти от «быстрого к рынку», чтобы «безопасного и быстрого к рынку», сказал HP.
