Video: Gun Clash 3D - Gameplay (iOS, Android) Walkthrough Part 60 | Level 651-660 (November 2024)
Apps hebben vaak toegang tot gegevens die ze niet nodig hebben, of machtigingen om hardware en services te gebruiken die niets te maken hebben met wat ze doen. Een recente studie toont aan dat de problemen veel groter zijn dan we dachten.
Onderzoekers van HP hebben tussen oktober en november meer dan 2.000 iOS-apps onderzocht en ontdekten dat negen van de tien apps volgens de vorige maand vrijgegeven studie ernstige kwetsbaarheden hadden. De problemen liepen uiteen van het hebben van te veel machtigingen, niet-gecodeerde gegevens en het onveilig verzenden van gegevens. Games hoeven geen toegang te hebben tot uw adresboek en er is echt geen reden voor de weer-app om toestemming te hebben om e-mail te verzenden. Als een app de gegevens waartoe het toegang heeft, niet goed beschermt, of niet goed beveiligt hoe het de kernbesturingssysteemcomponenten gebruikt, wordt het apparaat kwetsbaar voor aanvallen.
Mobiele apparaten zijn "belangrijkste doelen voor aanvallen, waarbij kwetsbare applicaties toegang bieden tot gevoelige gegevens", aldus Mike Armistead, vice-president en algemeen manager van de enterprise security products-groep van Fortify van HP.
In de studie gebruikten onderzoekers de HP Fortify on Demand geautomatiseerde binaire en dynamische analyse-engine om 2.107 applicaties te testen, geselecteerd uit 22 verschillende categorieën, waaronder productiviteit en sociale netwerken. Hoewel de studie zich richtte op aangepaste bedrijfstoepassingen, is het geen eind om aan te nemen dat soortgelijke beveiligings- en privacyproblemen aanwezig zijn in de apps die we zouden vinden in de Apple App Store of Google Play.
Gegevens niet beschermen
Bijna alle - 97 procent van de geteste apps had toegang tot ten minste één "privéinformatiebron", zoals persoonlijke adresboeken en sociale mediapagina's, of profiteerde van Bluetooth- of Wi-Fi-connectiviteit. Wat verontrustend is, is dat maar liefst 86 procent van die applicaties niet over voldoende beveiligingsmaatregelen beschikte om ervoor te zorgen dat de privégegevens werden beschermd, zo bleek uit het onderzoek.
Ongeveer 75 procent van de applicaties gebruikte codering onjuist bij het opslaan van gegevens op mobiele apparaten, zo bleek uit het onderzoek. Onbeschermde gegevens omvatten wachtwoorden, persoonlijke informatie, sessietokens, documenten, chatlogboeken en foto's.
Het was geruststellend om te zien dat slechts 18 procent van de in de studie geteste applicaties gebruikersnamen en wachtwoorden via HTTP stuurden, terwijl de resterende apps SSL / HTTPS gebruikten. Van degenen die de veilige transmissiemodus gebruiken, had bijna 20 procent echter onjuiste SSL / HTTPS-implementaties. Dit betekent dat de gegevens nog steeds kwetsbaar zijn voor snuiven door kwaadwillende aanvallers.
Ontwikkelaars moeten intensiveren
Over het algemeen worden mobiele besturingssystemen - zowel Android als iOS - steeds beter in het expliciet beschrijven van welke machtigingen de app vraagt. Er zijn ook strengere richtlijnen over tot welk type data-apps toegang kan worden verkregen. Het is echter nog steeds de taak van de gebruiker om de lijst met machtigingen te bekijken, de implicaties te begrijpen en te beslissen dat de verzoeken onredelijk zijn.
Het betere scenario zou zijn als ontwikkelaars vanaf het begin beveiliging en privacy in de apps hadden ingebouwd. Ze moeten nadenken over hoe hun apps omgaan met andere apps en het besturingssysteem. Ze moeten overwegen hoe hun apps veilig toegang kunnen krijgen tot gegevens.
Bedrijven moeten overschakelen van "snel naar markt" naar "veilig en snel naar markt", aldus HP.
