Число приложений на Android, содержащих критические уязвимости, немногим больше, чем на iOS (43% против 38% от общего числа протестированных программ), однако Positive Technologies подчеркивают, что в целом разница между платформами невелика. Procontent.Ru отмечает, что принято считать приложения на iPhone заметно более безопасными, чем для Android. Тем не менее, 74% протестированных приложений по сравнению с 57% для «зеленого робота» страдают от брешей в механизмах безопасности.
В целом 76% проверенных экспертами по безопасности приложений не смогли защитить данные пользователи, а найденные в них уязвимости «позволяют хакерам украсть пароли, финансовую информацию, личные данные и переписку».
Positive Technologies рекомендуют пользователям смартфонов тщательно разбираться с разрешениями, которые запрашивает каждое приложений и запрещать доступ к тем функциям смартфона, которые очевидно для работы приложению не нужны (например, доступ к телефонной книге приложении-фонарику для работы точно не нужен); использовать по-настоящему случайные PIN-коды и пароли, а также биометрическую идентификацию при любой возможности.
Для обеспечения безопасности данных не рекомендуется получать рут-доступ на устройстве, делать джейлбрейк. Специалисты советуют оперативно обновлять операционную систему и приложения на регулярной основе. Кроме того, не следует загружать приложения из сторонних магазинов (только из официальных Google Play и App Store для Android и iOS, соответственно). Также не позволяйте устанавливать приложения на свой телефон другим людям или компаниям.
Большинство пользователей, да и многие эксперты по кибербезопасности, считают, что установленное на телефон программное обеспечение и есть «приложение». Однако, для функционирования многих приложений важно, что происходит в серверной части сервиса, контролируемой разработчиком. Именно серверная часть отвечает за обработку и авторизацию клиент-серверных приложений.
«На самом деле серверная часть - наиболее важный компонент современных приложений», - говорится в отчете об исследовании, - «Именно на серверах хранится и обрабатывается информация. Сервер также отвечает за синхронизацию данных между устройствами пользователей».
Внушительные 86% серверных функций в приложениях, протестированных Positive Technologies, были уязвимы к заурядным кросс-сайтовым атакам, а еще 43% страдали от утечек информации и/или содержали критически ошибки авторизации.
Таким образом, учитывая уязвимости как в клиентском приложении, так и в серверной части, для вредоносной деятельности хакеров созданы чуть ли не идеальные условия. «Для взлома смартфона и краже данных редко требуется физический доступ к устройству. 89% обнаруженных уязвимостей могут быть использованы с помощью специального программного обеспечения», - сообщает Positive Technologies.
Выходит, что не существует какой-то единой огромной бреши в безопасности приложений для телефонов, но множество мелких создают куммулятивный эффект, от этого не менее угрожающий.
«Риск взлома необязательно несет одна дыра в безопасности на стороне клиентского приложения или сервера. В большинстве случаев кража данных возможна из-за нескольких, на первый взгляд незначительных, багов в различных компонентах мобильного приложения. Все вместе в итоге приводит к серьезным последствиям и создает угрожающую ситуацию для пользовательских данных.
Эксперты Positive Technologies протестировали безопасность восьми приложений для Anroid и девяти приложений для iOS, а также серверные компоненты семи приложений для смартфонов. Если исследовались версии одной и того же приложения для разных платформ, то их серверные части почти наверняка используют одни и те же сервера.
Разработчики приложений активно сотрудничали с исследователями, однако названия протестированных приложений в отчете не указаны.
Скачать бесплатно полный отчет Positive Technologies об уязвимостях в iOS и Android приложениях можно здесь.
Чтобы не стать жертвой хакеров, не потерять доступ к ценным аккаунтам, сохранить финасовую информацию в безопасности, стоит прислушаться к советам экспертов Positive Technologies.
Постоянный адрес публикации: http://www.procontent.ru/news/31545.html
© Дмитрий Серпухов «Мобильный Контент»