Technológia

A fejlesztők figyelmének hiánya a felhőbiztonságra figyelmeztetéseket küld

23 szivárgó Android alkalmazás felfedezése Ellenőrző pont kutatás (CPR) – amely együttesen felteheti a személyes adatok több mint 100 millió veszélyeztetett felhasználó – újabb figyelmeztetéseket és emlékeztetőket kért arra vonatkozóan, mennyire kritikus fontosságú a szoftverfejlesztők számára, hogy lépést tartsanak a lehetséges biztonsági csúszásokkal.

A Check Point közölte, hogy 13 Android-alkalmazás valós idejű adatbázisaiból nyilvánosan elérhető, érzékeny adatokat talált, darabonként 10 000 és 10 millió letöltéssel, valamint magukban az alkalmazásokban be vannak ágyazva az értesítési és a felhőtároló kulcsok. A sérülékeny alkalmazások közé tartoztak az asztrológia, a taxik, az emblémakészítés, a képernyőfelvétel és a faxolás, valamint a kitett adatok e-maileket, csevegőüzeneteket, tartózkodási hely metaadatait, jelszavakat és fényképeket.

Az expozíció minden esetben azért következett be, mert a konfigurálás és az integrálás során nem tartották be a bevált gyakorlatokat harmadik féltől származó felhőszolgáltatások az alkalmazásokba. A CPR a nyilvánosságra hozatalt megelőzően megkereste a Google-t és az összes alkalmazásszolgáltatót, amelyek közül néhány azóta lezárta kitett példányait.

„A mobil eszközöket különböző módon lehet megtámadni. Ez magában foglalja a rosszindulatú alkalmazások lehetőségét, hálózati szintű támadásokat, valamint az eszközökön és a mobil operációs rendszeren belüli sebezhetőségek kiaknázását ”- közölte a CPR csapata egy közzétételi blogban.

„Ahogy a mobileszközök egyre fontosabbá válnak, további figyelmet kaptak a számítógépes bűnözők részéről. Ennek eredményeként az ezen eszközökkel szembeni számítógépes fenyegetések változatosabbá váltak. A hatékony mobil fenyegetésvédelmi megoldásnak képesnek kell lennie a különféle támadások észlelésére és azokra való reagálásra, miközben pozitív felhasználói élményt nyújt. ”

Veridium Baber Amin operatív vezérigazgató elmondta, hogy az átlagos Android-felhasználónak semmilyen technikai képessége nem lenne arra, hogy értékelje a letöltött alkalmazások minden elemét, és mivel a probléma a hátulján lévő rosszul konfigurált hozzáférési szabályok egyike, lényegében nem tehettek semmit csinálni. Azonban továbbra is a felhasználók szenvednek attól, hogy adataikat kitegyék.

„Ahogy a mobileszközök egyre fontosabbá válnak, további figyelmet kaptak a számítógépes bűnözők részéről. Ennek eredményeként az ezen eszközökkel szembeni számítógépes fenyegetések változatosabbá váltak ”

Ellenőrző pont kutatás

„Mivel a végeredmény az információszivárgás, amely magába foglalja a hitelesítő adatokat is, egy dolog a felhasználók felett van jó jelszó-higiénia– mondta Amin.

„A felhasználók bizonyos fokig megvédhetik magukat a következők bármelyikével: nem használhatják újra a jelszavakat; ne használjon nyilvánvaló mintájú jelszavakat; figyelemmel kíséri a belépési, jelszó-visszaállítási vagy fiók-helyreállítási kísérletek során használt más szolgáltatások üzeneteit; kérje meg az alkalmazás tulajdonosát, hogy támogassa a jelszó nélküli opciókat, kérje meg az alkalmazás fejlesztőjét, hogy támogassa a natív eszközön található biometrikus adatokat, keressen olyan alternatív alkalmazásokat, amelyek biztonsági és adatvédelmi gyakorlatot állapítottak meg, kérje meg a Google-t és az Apple-t, hogy végezzen további átvilágítást a a piacukon engedélyezett alkalmazások. ”

Tom Lysemose Hansen, a norvég központú alkalmazásbiztonsági cég technológiai igazgatója Promon, a Check Point megállapításai összességében kiábrándítóak voltak, mivel rávilágítottak a fejlesztői közösség „újonc hibáira”.

„Bár igazságtalan lenne elvárni, hogy valaki soha ne tévedjen, ez több, mint egyszeri. Az alkalmazás adatait mindig védeni kell. Ennyire egyszerű. Nem homályos vagy elrejtett, hanem védett ”- mondta.

„A felhasználói üzenetekhez való hozzáférés elég rossz, de ez nem a legrosszabb. Ha például a támadó megtalálja az API-kulcsok elérésének módját, akkor könnyen kibonthatja azokat, és hamis alkalmazásokat készíthet, amelyek a valódiakat megszemélyesítik, hogy önkényes API-hívásokat kezdeményezzenek, vagy más módon hozzáférhetnek egy alkalmazás háttér-infrastruktúrájához, hogy információkat kaparhassanak a szerverekről.

“Az ilyen típusú támadások súlyos adatmegsértéseket eredményezhetnek, és a kapcsolódó bírságokon kívül káros hatással lehetnek a márka hírnevére” – tette hozzá Hansen.

Trevor Morgan, termékmenedzser a comforte AG, mondta, hogy a felhő környezetek által megengedett megnövekedett támadási felület megnehezítette a biztonságot a rájuk támaszkodó vállalatok számára.

„Hibrid és multicloud stratégiával az adatok szétszóródnak több felhőben, valamint a saját adatközpontjaikban. Az adatbiztonság kezelése még nehezebbé válik a felhő-infrastruktúra összetettségének növekedésével ”- mondta.

“A modern DevOps-kultúrával kombinálva a téves konfigurációk és az általános biztonsági követelmények, amelyeket figyelmen kívül hagynak vagy figyelmen kívül hagynak, általánossá válnak” – mondta.

„A modern DevOps kultúrával együtt a hibás konfigurációk és az általános biztonsági követelmények, amelyeket figyelmen kívül hagynak vagy figyelmen kívül hagynak, általánossá válnak”

Trevor Morgan, a comforte AG

Mivel sok alkalmazás megfelelő működéséhez potenciálisan érzékeny adatokra van szükség – különösen azok számára, amelyek bevételt generálnak -, az adatvédelemnek fontos részét kell képeznie a fejlesztési folyamatnak és az általános védelmi keretrendszernek – mondta Morgan.

Azt tanácsolta a fejlesztőknek, hogy fogadjanak el adatközpontú biztonsági gyakorlatokat az adatok védelme érdekében, még akkor is, ha más biztonsági rétegek meghibásodnak vagy megkerülhetők, és szerinte azok, akik olyan technológiákat használnak, mint a tokenisizálás és a formátummegőrző titkosítás, sokkal jobb helyzetben vannak annak biztosítására, hogy egy esemény, például egy a helytelenül konfigurált felhőszolgáltatás nem feltétlenül válik teljes körű adatmegsértéssé.

De Chenxi Wang, a biztonsági befektetési szakember általános partnere Esőtőke és a Forrester egykori kutatási alelnöke szerint a hibát nem kizárólag az alkalmazásfejlesztőkre háríthatják.

„A fejlesztők nem mindig tudják a megfelelő tennivalókat a biztonság szempontjából. Az olyan alkalmazásplatformoknak, mint a Google Play és az Apple Appstore, mélyebb tesztelést kell biztosítaniuk, valamint ösztönözniük kell a fejlesztők helyes magatartását a biztonság kiépítéséhez kezdettől fogva ”- mondta Wang.

“Ez a felfedezés aláhúzza a biztonságra koncentráló alkalmazás-tesztelés és -ellenőrzés fontosságát” – tette hozzá.