回顾：2021年代表性移动应用安全事件

2021年，当全世界的目光都集中在备受瞩目的供应链攻击事件上时，另一个风险领域却被忽视了——移动应用。回顾2021年，移动应用安全事件频发：从亚马逊Ring和Slack等公司到美国海关与边境保护局（CBP），全球近四分之一的企业组织遭受移动或物联网数据泄露。以下为2021年具有代表性的移动应用安全事件列表，供读者参考。2021年移动应用安全事件1.亚马逊RingApp泄露用户数据2021年1月，亚马逊安防摄像头Ring的应用Neighbors被曝存在安全漏洞，泄露了应用用户的确切位置和家庭住址。通常，虽然用户的帖子是公开的，但通常不会透露用户的姓名或确切位置。暴露的漏洞从Ring服务器获取隐藏数据，包括用户的家庭住址。该漏洞允许其他人检索用户的位置数据，而使用Neighbors的用户无法看到暴露的数据。RingNeighbors应用程序在2020年已经拥有1000万用户，但围绕RingIoT门铃和安全摄像头的安全问题从未得到解决。Ring正面临针对数据泄露的集体诉讼。2.Slack移动应用程序向用户公开证据报告2021年1月，Android移动应用程序Slack中的安全漏洞在设备上记录了明文用户凭据。受影响的客户被要求重置密码并擦除应用程序数据日志。Slack号称拥有超过1200万活跃用户，其影响力可想而知。3.SHAREit文件共享应用程序存在远程代码执行漏洞据外媒报道，2021年2月，下载量超过10亿的安卓文件共享应用程序SHAREit存在漏洞，3个多月仍未修复。SHAREit应用程序开发人员忽视了一个可能在智能手机上运行恶意代码的漏洞。虽然SHAREit最终修复了该漏洞，但在此之前该代码已被数百万人共享。4.13款安卓应用泄露数百万用户数据根据CheckPointResearch报告，2021年4月，13款热门安卓应用泄露了多达1亿用户的数据。开发人员未能保护第三方云服务，导致包括电子邮件、聊天消息、密码和照片在内的个人数据泄露。5.ParkMobile数据泄露影响2100万用户去年，KrebsOnSecurity在地下黑市发现了停车应用（ParkMobile）多达2100万用户的账户信息。ParkMobile开发人员随后发现第三方软件正在泄露个人数据，包括客户电子邮件地址、电话号码和车牌号码。ParkMobil还因泄露用户数据而面临集体诉讼。6.Klarna的支付应用程序暴露用户余额2021年5月，Klarna的一款手机银行应用程序遭遇数据泄露，导致客户陷入困境。该应用程序的用户短暂地看到了其他用户的帐户信息，但看不到他们自己的帐户信息。根据Klarna的说法，人为错误导致信息以意想不到的方式被缓存。巧合的是，这件事发生在Klarna获得6.39亿美元新资金后不久。7.COVIDPassport应用程序暴露用户数据在黑客利用COVID-19大流行的另一个例子中，加拿大的COVID疫苗接种护照移动应用程序Portpass暴露了650,000名未加密并以明文形式存储的用户的个人数据，导致任何人都可以访问他们网站上的个人数据。8.CBP泄露数千万用户信息在一次审计中，美国海关与边境保护局(CBP)未能扫描2016年至2019年间发布的91%的应用程序更新以检测漏洞。由于大量应用程序泄露个人身份信息，CBP开发的六款移动护照控制应用程序暴露了多达1000万旅客的个人数据。9.AppleiMessage中的零日漏洞影响了9亿台设备2021年最大的移动应用程序数据泄露事件之一，AppleiMessage中的零日漏洞危及了9亿iPhone、iPad、手表和MacBook的活跃用户暴露于NSOGroup间谍软件威胁，众所周知，NSO用来监视政治活动家。2022年移动应用安全展望通过以上安全事件，我们可以发现移动应用安全威胁主要来自以下几个方面：不安全的代码允许攻击者访问或控制设备。例如，iMessage数据泄露事件表明，有缺陷的代码可以让攻击者访问设备上的所有内容；移动应用程序和服务器之间不安全的网络配置允许黑客进行中间人攻击；设备上的不安全存储允许恶意用户或恶意软件访问敏感数据；泄露数据的应用程序（如AmazonRingNeighbors应用程序数据泄露）源于编码不当，这也揭示了代码安全测试的重要性；不安全的配置会通过网络泄露数据，因为移动应用程序、运营商和服务器设备之间的通信会产生复杂的攻击面；敏感数据保护不当（例如Klarna数据泄露）意味着移动应用程序以明文形式暴露敏感数据，例如密码和信用卡。我们在2021年看到的移动应用程序安全事件已使企业在收入损失、补救成本、品牌声誉受损等方面造成数十亿美元的损失。这些惨痛的教训表明，大多数移动应用程序安全事件都是由相同的漏洞、不安全的编码实践和缺乏足够的安全测试引起的。到2022年，随着此类漏洞和威胁的持续发生，企业安全团队将需要在整个软件开发生命周期中增加对应用程序的测试，更快地发现漏洞，并监控部署的所有移动应用程序，以显着降低发生重大移动应用程序安全事件的几率2022年，组织可以通过动态移动应用程序安全测试、更好地培训移动开发人员以及更加重视移动应用程序安全性来避免此类事件。参考链接：https://www.darkreading.com/application-security/mobile-application-security-2021-s-breakesid:gooann-sectv)获取授权】点此阅读本作者更多好文