移动应用安全:2021年的安全漏洞
通过测试、培训和认真对待应用程序安全,去年可以避免发生许多最大的应用程序泄露事件。
2021年,当全世界都在关注软件供应链攻击时,另一个领域同样也受到了围攻:移动应用程序。
到2020年,移动应用的下载量将超过2000亿次,这意味着移动应用面临着复杂的网络攻击。Verizon调查的四分之一的公司遭遇过移动或物联网数据泄露。
回顾一下2021年最严重的移动数据泄露事件,我们可以从中看出今年的情况。从Amazon Ring 和Slack等企业巨头,到美国海关和边境保护局(CBP),这些移动应用程序入侵成为新闻头条。
Amazon Ring应用程序泄露数据
2021年1月,Amazon Ring Neighbors 应用程序中的一个安全漏洞泄露了在该应用程序上发帖的用户的确切位置和地址。尽管用户帖子是公开的,但该应用程序通常不会显示准确的位置。该漏洞并未向应用程序用户显示数据,而是收集了隐藏数据,包括用户的纬度、经度和家庭住址。尽管自推出以来一直困扰着Amazon Ring Neighbors 和摄像头的安全问题,但Ring Neighbors应用程序在2020年达到了1000万用户。
Slack移动应用程序公开用户凭据
据去年1月的报道,Android移动应用程序的一个安全漏洞记录了设备上的明文用户凭证。受影响的客户被要求重置密码并擦除应用程序数据日志。Slack号称拥有超过1200万的日常用户。
SHAREit文件共享应用程序易受远程代码执行攻击
2月,ZDNet报道称,下载量超过10亿的Android文件共享应用程序中的漏洞已3个月没被修复。SHAREit应用程序的开发人员忽略了一个可能被利用在智能手机上运行恶意代码的漏洞。SHAREit最终修复了漏洞,但在此之前,该代码已被数百万人共享。
13款Android应用程序泄露数百万用户数据
当移动应用程序开发人员无法确保通信安全时,会发生什么?这可能是2021年最大的手机入侵报告之一。今年4月,Check Point Research报告称,13款流行的Android应用程序泄露了多达1亿用户的数据。开发商未能保护第三方云服务,导致包括电子邮件、聊天信息、密码和照片在内的个人数据泄露。
ParkMobile漏洞影响2100万用户
KrebsOnSecurity在黑市上发现了多达2100万名停车应用程序用户的账户信息。ParkMobile的开发者随后发现,第三方软件泄露了包括客户电子邮件地址、电话号码和车牌号在内的个人数据。ParkMobile现在因泄露用户数据而面临集体诉讼。
Klarna支付应用程序暴露用户余额
5月,Klarna的一款手机银行应用程序遭遇了安全漏洞,引发了广大客户的困惑。这款应用的用户只是短暂地看到了其他用户的账户信息,而不是自己的。根据Klarna的披露,人为错误导致信息以一种意想不到的方式被缓存。这起事件发生在Klarna获得6.39亿美元新投资后不久。
COVID Passport应用程序暴露用户
在黑客利用疫情的另一个例子中,加拿大COVID疫苗接种护照移动应用程序Portpass泄露了65万名用户的个人数据。任何人都可以访问其网站上的个人资料,而这款移动应用程序不加密个人数据,而是以明文形式存储。
漏洞应用造成漏洞边界
美国海关与边境保护局(CBP)开发的6款手机护照控制应用程序泄露了多达1000万名旅行者的个人信息。一项审计发现,CBP未能扫描2016年至2019年间发布的91%的应用程序更新来检测漏洞。
Apple iMessage中的零日漏洞影响了9亿台设备
作为今年最大的移动漏洞之一,Apple修复了iMessage中的一个0day漏洞,该漏洞使 iPhone、iPad、Watches和MacBooks的所有9亿活跃用户暴露在NSO集团的间谍软件之下。NSO利用这一漏洞监视政治活动人士。
安全问题
今年许多最大的违规事件都来自我们年复一年看到的相同漏洞。大多数可以通过静态代码安全检测、动态移动应用程序安全测试、对移动开发人员的更好培训以及更加重视移动应用程序安全的意愿来预防。在通常的嫌疑人中:
今年许多规模最大的入侵事件都来自我们年复一年看到的相同漏洞。通过动态的移动应用程序安全测试、对移动开发人员进行更好的培训以及更认真地对待移动应用程序安全的意愿,就可以避免大多数问题。通常的怀疑对象有:
不安全的代码允许攻击者访问或控制。与 iMessage 的情况一样,有缺陷的代码可以让攻击者访问设备上的所有内容。
移动应用程序和服务器之间不安全的网络配置允许黑客进行中间人攻击。
设备上的不安全存储允许恶意用户或恶意软件检查敏感数据存储。
泄漏数据的应用程序,如Amazon Ring Neighbors应用程序漏洞,都是由于编码不当造成的,因此需要进行更好的代码安全测试。
不安全的配置会通过网络泄漏数据,因为移动应用程序、运营商和服务器之间的通信会造成复杂的攻击面。
对敏感数据的不安全保护,如Klarna漏洞,意味着移动应用程序将密码和信用卡信息等敏感数据以明文形式暴露出来。
今年的下一步该怎么做?
正如在2021年看到的那些移动设备入侵,给企业造成了数十亿美元的收入损失、修复成本、受损的品牌声誉等等。然而,这类违规行为将持续到2022年。
由于我们自己不安全的编码实践和缺乏足够的测试,许多安全问题是我们自己造成的。安全团队可以通过在软件开发的整个生命周期中测试应用程序,更快地发现缺陷及安全漏洞,同时监控生产中的所有移动应用程序,从而显着降低来年发生移动应用程序重大安全漏洞事故的几率。
文章来源:
https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches