通过测试、培训和认真对待应用程序安全性,去年可以避免许多最大的应用程序漏洞。2021年,在全球关注软件供应链攻击的同时,另一个领域也在围攻:移动应用。到2020年,移动应用程序下载量将超过2000亿次,这意味着移动应用程序将面临复杂的网络攻击。Verizon调查的公司中有四分之一经历过移动或物联网数据泄露。回顾2021年最严重的移动数据泄露事件,我们可以了解今年的情况。从AmazonRing和Slack等企业巨头到美国海关与边境保护局(CBP),这些移动应用程序违规事件成为头条新闻。AmazonRing应用程序泄露数据2021年1月,AmazonRingNeighbors应用程序中的安全漏洞泄露了在该应用程序上发帖的用户的确切位置和地址。尽管用户帖子是公开的,但该应用程序通常不会显示确切位置。该漏洞并没有向应用程序用户透露数据,而是收集了隐藏数据,包括用户的纬度、经度和家庭住址。RingNeighbors应用程序在2020年达到了1000万用户,尽管安全问题自推出以来一直困扰着亚马逊RingNeighbors和相机。Slack移动应用程序暴露用户凭据据去年1月报道,Android移动应用程序中的一个安全漏洞在设备上记录了明文用户凭据。受影响的客户被要求重置密码并擦除应用程序数据日志。Slack拥有超过1200万的每日用户。SHAREit文件共享应用程序易受远程代码执行攻击2月,ZDNet报道称,下载量超过10亿次的Android文件共享应用程序中的一个漏洞三个月未得到修补。SHAREit应用程序的开发人员忽略了一个漏洞,该漏洞可被利用在智能手机上运行恶意代码。SHAREit最终修复了这个错误,但在代码被数百万人共享之前。13Android应用程序泄露数百万用户的数据如果移动应用程序开发人员未能保护通信安全会怎样?这可能是2021年最大的手机数据泄露报告之一。4月,CheckPointResearch报告称,13款流行的Android应用程序泄露了多达1亿用户的数据。开发人员未能保护第三方云服务,导致包括电子邮件、聊天消息、密码和照片在内的个人数据泄露。ParkMobile漏洞影响2100万用户KrebsOnSecurity在黑市上发现了多达2100万停车应用用户的账户信息。ParkMobile的开发人员随后发现第三方软件泄露了个人数据,包括客户的电子邮件地址、电话号码和车牌号码。ParkMobile现在面临泄露用户数据的集体诉讼。Klarna支付应用程序暴露用户余额5月,Klarna的一款移动银行应用程序遭遇安全漏洞,导致客户混淆。该应用程序的用户短暂地看到了其他用户的帐户信息,而不是他们自己的。根据Klarna的披露,人为错误导致信息以意想不到的方式被缓存。事件发生在Klarna获得6.39亿美元的新投资后不久。COVIDPassport应用程序暴露用户在另一个黑客利用大流行的例子中,加拿大COVID疫苗接种护照移动应用程序Portpass泄露了650,000名用户的个人数据。任何人都可以访问其网站上的个人资料,并且该移动应用程序不会对个人数据进行加密,而是以明文形式存储。易受攻击的应用程序泄露边界美国海关与边境保护局(CBP)开发的六款移动护照控制应用程序泄露了多达1000万旅客的个人信息。一项审计发现,CBP未能扫描2016年至2019年期间发布的91%的应用程序更新以检测漏洞。AppleiMessage中的零日漏洞影响了9亿台设备作为今年最大的移动漏洞之一,Apple修复了iMessage中的一个零日漏洞,该漏洞将iPhone、iPad、手表和MacBook的所有9亿活跃用户暴露在NSOGroup的威胁之下。间谍软件。NSO利用这个漏洞监视政治活动家。安全问题今年许多最大的违规行为都源于我们年复一年看到的相同违规行为。大多数情况都可以通过静态代码安全检查、动态移动应用程序安全测试、更好地培训移动开发人员以及更认真地对待移动应用程序安全的意愿来预防。在常见的嫌疑人中:今年许多最大的漏洞都来自我们年复一年看到的相同漏洞。大多数问题都可以通过动态移动应用程序安全测试、更好地培训移动开发人员以及更认真地对待移动应用程序安全的意愿来避免。常见的嫌疑人有:允许攻击者访问或控制的不安全代码。与iMessage的情况一样,有缺陷的代码可能会让攻击者访问设备上的所有内容。移动应用程序和服务器之间不安全的网络配置允许黑客进行中间人攻击。设备上的不安全存储允许恶意用户或恶意软件检查敏感数据存储。泄漏数据的应用程序,例如AmazonRingNeighbors应用程序漏洞,是由于编码不当,需要更好的代码安全测试。不安全的配置可能会通过网络泄露数据,因为移动应用程序、运营商和服务器之间的通信会产生复杂的攻击面。对敏感数据的不安全保护(例如Klarna漏洞)意味着移动应用程序以明文形式暴露了敏感数据,例如密码和信用卡信息。今年的下一步是什么?正如我们在2021年所看到的那样,这些移动设备入侵已使企业在收入损失、补救成本、品牌声誉受损等方面损失数十亿美元。然而,此类违规行为将持续到2022年。由于我们自己不安全的编码实践和缺乏足够的测试,许多安全问题都是我们自己造成的。安全团队可以通过在整个软件开发生命周期中测试应用程序,同时监控生产中的所有移动应用程序,从而更快地发现错误和安全漏洞,从而显着降低来年发生重大移动应用程序安全漏洞的可能性。
