研究人员警告,移动应用对企业安全的威胁很大
不安全的商业和内部移动应用程序编码实践将门口敞开到网络攻击者,一名安全研究员已发现。
根据对前1000个应用的分析,对数百万的移动恶意软件样本放置在数百万的移动恶意软件样本上,但不安全的应用可能代表更大的威胁。
“到目前为止扫描了超过600个顶级应用程序,展示了一个非常明显和惊人的趋势,”Sophos全球安全研究负责人James Lyne表示。
“尽管消费者提供了现成的安全功能,但是编程实践非常糟糕,但这只是没有使用,”他告诉计算机每周。
虽然该研究包括相对较少的内部移动应用程序,但Lyne表示,到目前为止,大多数人都与商业应用中最糟糕的是。
该研究比较了移动和传统桌面世界的应用程序开发成熟度,专注于使用加密,数据传输,身份验证和数据存储。
“这两个世界并不令人对齐,但这非常震惊了多少个应用程序,包括大品牌,无法利用移动设备上可用的安全功能,”Lyne说。
尽管存在易于使用的应用程序接口(API),但它将执行正确验证的传输[图层],大多数应用程序开发人员继续使用较旧的,更不安全的交换数据方法。
这项研究表明,令人惊叹的大多数应用程序都无法做到证明钉扎或公钥固定等事情,以防止中间人攻击。
“许多开发人员似乎正在使用回收的代码来制作它们已从某个地方复制的连接,以接受任何可接受任何证书,使攻击者能够在打开Wi-Fi连接上轻松窃取数据,除非正在使用VPN [虚拟专用网络]连接,但相对少的人这样做了,“莱恩说。
另一个常见故障领域是数据的本地存储。虽然最新的IOS和Android设备将默认情况下执行基于卷的加密,但提供非常好的功能,可以存储具有额外加密的“秘密”,只有当该应用程序被认证时,才能解锁,Lyne表示此功能非常糟糕大多数移动应用程序不一致。
“只有大约3%的应用程序粘在惊人的最佳实践中,如具有双因素身份验证的Twitter应用程序,但是此悬崖没有应用所有最佳标准和实践,并且所有数据都已放置他说,进入了相同的不重要桶,“他说。
结果是一个非常弱的应用程序生态系统,其中App A可以从APP B中看到数据,并且设备上存在“平坦”数据模型,类似于在几年前直到电脑上的“平面”数据模型。
该研究还侧重于使用凭据和认证,并发现这是在约90%的应用中分析的应用程序中的另一个差的练习领域。
凭据通常使用刚刚散列将“通过电线上”发送,通常使用过时的机制,如MD5和SHA-1,而无需腌制而不是使用OAUTH和SAML等标准。
“我们所看到的大多数身份验证都使用自我糟糕的模型,”Lyne说。“正在发送”加载MD5密码的负载,这要求用户具有令人难以置信的强密码以避免它被破解。
“身份验证,这应该是2016年的一个非常解决的问题,其中包含所有的精彩计划库以及移动到手机中的所有功能,都已部署很差,”他补充道。
在许多情况下,简单地向代码添加一个参数将打开Lyne表示会解决问题的内置功能。
他说,在一些最新的Android版本中,谷歌已经完成了一些“惊人的工作”来实现操作系统中的安全功能。
“我们在Android中看到了一些非常好的通用漏洞预防,但最重要的是,您已经未能完成安全基础并检查基本缺陷的这一层应用程序,”他补充道。
Lyne借鉴了“质量解决方案工程”的快速应用程序开发的巨额焦点,并在检查移动应用程序以获得糟糕的编程实践中的“几乎没有投资”。
“作为软件开发生命周期的一部分的任何基本渗透测试或质量保证流程都会捕获这样的东西,”Lyne说。
他说,企业的风险是,这种未能使用任何源代码扫描仪的攻击者可以通过任何源代码扫描仪挑选出初始安全控制。
“与此同时,企业将在过去的电脑上放在手机上的同样相同的敏感公司数据,并倾向于信任移动电话,”他说。“但这项研究表明,移动行业没有相同的检查和平衡或相同的成熟度。”
这意味着担心移动者将成为攻击者进入企业的轻松路线可能会被实现为PC和手机之间的线路继续模糊。
“移动应用程序和检查缺陷的流程中缺乏安全基础是现在的一个非常糟糕的组合,但在一到两年的时间内,当移动更多的移动数据时,他们有更大的信任地位,我们是Lyne说,可能最终有一个非常令人讨厌的混乱。“
攻击者意识到这种情况,可以利用大多数移动应用程序“离开门敞开”的事实,但他说,很难量化。
即使它没有被剥削,Lyne也说:“我们正在建立一个在一方的大规模信任的生态系统,另一方的缺乏诚信,这是一个真正烧伤我们的可怕组合。”
我们正在建立一个具有大规模信任的生态系统,另一方面是一个可怕的缺乏诚信,这是一个可怕的组合,可以真正烧詹姆斯·莱恩,索菲斯他认为迫切需要基本变革,但表示监管不太可能提供必要的结果。
“创造一个具有足够特异性来推动所需的技术行为的监管框架是非常困难的,”Lyne说。
然而,他说,一些法律行动可以鉴于某种事实,即一些失败是如此伟大,不同时释放汽车到市场而不一次测试刹车,他们可以被归类为“疏忽”并合法地挑战。
但即使监管机构或其他人在疏忽地挑战现状,即使是疏忽的理由,Lyne表示不太可能推动任何重大变化。
“真正需要的是消费者或最终用户价值的变化,相信移动应用程序安全性很重要,但鉴于人们在手机中有不可能的是,大多数人都完全没有意识到瑕疵的事实,”他说。
“唯一可能破坏它的背部的东西是一个真正的,真正糟糕或令人讨厌的事件,这些事件是迫使公司因糟糕的媒体和消费者在安全方面变得更加警惕和苛刻。但与此同时,谁知道虹吸的数据是多少。“
