研究人员警告,移动应用对企业安全的威胁很大
符合奖项托管和服务合约价值250万英镑到CSC
索赔2016年燃料数据中心扩建的低油价
在令人失望的预测和增长后,Twitter股价下跌
荷兰水希望超越将其脚趾浸入大数据池中
理事会IT酋长概述计划为地方当局创造伦敦范围的超级邮轮
趋势科学表示,在2016年的在线敲诈勒索集团
大多数英国人支持政府监测国家安全
VMware在云集中的公司重组中削减800个工作岗位
惠普从公共云市场撤退,六个月后否认退出计划
每个人论坛:真实性,信心和令人难忘的重要性
日益增长的中东IT培训需要仔细规划
甲骨文在阿布扎比建立云数据中心
Android安全改进,但企业应谨慎行事
云提供商在东盟地区锻炼合作伙伴关系和联盟
捷豹土地漫游者设立“生活实验室”来测试自治车
Bet365向Github捐赠Erlang Libraries
EE出现在伦敦机场的最高表演网络
G-Cloud 6赢得六个月的延伸,因为政府准备下一代框架
Trinity Mirror Group Taps进入云,敏捷和微服务促进Web用户体验
NHS 24的计算机系统启动启动
通信工人联盟警告邮局地平线会计系统缺陷的潜在客户
邮局寻找它作为cio退出
芬兰的kone选择IBM for IoT推动
SAP Q3 2015结果:科恩说,内部部署和云并行生长
安全严重的一周在伦敦开球
云计算在比利时:一张灰色的图片
专家说,Infosec Pros应该开始为未来做准备
尊敬对网络防御至关重要的威胁情报,索赔人群
政府出版研究生收入数据
UKTECH50 2015--投票赞成英国最具影响力的人
澳大利亚的数字转型头Paul Shetler标志着第一年
爱沙尼亚电信在国家网络上部署了100Gbps核心
Equinix和Interxion载列了2016年全球数据中心扩展计划
M&S DataBreac区部队零售商暂停服务
RSAC16:RSA报告说,网络犯罪分子藏在明天的视线中
Dropbox投资于将内部内部存储放在用户编号飙升中
联合议会委员会表示,监禁法案需要更多的工作工作
北方地方议会小姐中小企业目标
银行家表示,零售银行将于2020年全自动自动化
G.Fast对英国光纤的答案与铜辩论吗?
替代金融部门占英国的3.2亿英镑投资
三星乐观虽然有利润坍塌
企业敦促采取行动数据隐私
移动账户占Argos销售的一季度,但家庭零售集团的总体销售额下降
Ransomware迁移到Apple Mac计算机
NHS英国旨在截至2016年3月的GP IT系统集成
Flash Storage Reinvigorates悉尼学区集中了
沃达丰首席续订呼吁BT - OpenReach分离
欧盟专员列出了寻求安全港口更换的挑战
您的位置:首页 >科技 > 物联科技 >

研究人员警告,移动应用对企业安全的威胁很大

2021-06-07 19:21:25 [来源]:

不安全的商业和内部移动应用程序编码实践将门口敞开到网络攻击者,一名安全研究员已发现。

根据对前1000个应用的分析,对数百万的移动恶意软件样本放置在数百万的移动恶意软件样本上,但不安全的应用可能代表更大的威胁。

“到目前为止扫描了超过600个顶级应用程序,展示了一个非常明显和惊人的趋势,”Sophos全球安全研究负责人James Lyne表示。

“尽管消费者提供了现成的安全功能,但是编程实践非常糟糕,但这只是没有使用,”他告诉计算机每周。

虽然该研究包括相对较少的内部移动应用程序,但Lyne表示,到目前为止,大多数人都与商业应用中最糟糕的是。

该研究比较了移动和传统桌面世界的应用程序开发成熟度,专注于使用加密,数据传输,身份验证和数据存储。

“这两个世界并不令人对齐,但这非常震惊了多少个应用程序,包括大品牌,无法利用移动设备上可用的安全功能,”Lyne说。

尽管存在易于使用的应用程序接口(API),但它将执行正确验证的传输[图层],大多数应用程序开发人员继续使用较旧的,更不安全的交换数据方法。

这项研究表明,令人惊叹的大多数应用程序都无法做到证明钉扎或公钥固定等事情,以防止中间人攻击。

“许多开发人员似乎正在使用回收的代码来制作它们已从某个地方复制的连接,以接受任何可接受任何证书,使攻击者能够在打开Wi-Fi连接上轻松窃取数据,除非正在使用VPN [虚拟专用网络]连接,但相对少的人这样做了,“莱恩说。

另一个常见故障领域是数据的本地存储。虽然最新的IOS和Android设备将默认情况下执行基于卷的加密,但提供非常好的功能,可以存储具有额外加密的“秘密”,只有当该应用程序被认证时,才能解锁,Lyne表示此功能非常糟糕大多数移动应用程序不一致。

“只有大约3%的应用程序粘在惊人的最佳实践中,如具有双因素身份验证的Twitter应用程序,但是此悬崖没有应用所有最佳标准和实践,并且所有数据都已放置他说,进入了相同的不重要桶,“他说。

结果是一个非常弱的应用程序生态系统,其中App A可以从APP B中看到数据,并且设备上存在“平坦”数据模型,类似于在几年前直到电脑上的“平面”数据模型。

该研究还侧重于使用凭据和认证,并发现这是在约90%的应用中分析的应用程序中的另一个差的练习领域。

凭据通常使用刚刚散列将“通过电线上”发送,通常使用过时的机制,如MD5和SHA-1,而无需腌制而不是使用OAUTH和SAML等标准。

“我们所看到的大多数身份验证都使用自我糟糕的模型,”Lyne说。“正在发送”加载MD5密码的负载,这要求用户具有令人难以置信的强密码以避免它被破解。

“身份验证,这应该是2016年的一个非常解决的问题,其中包含所有的精彩计划库以及移动到手机中的所有功能,都已部署很差,”他补充道。

在许多情况下,简单地向代码添加一个参数将打开Lyne表示会解决问题的内置功能。

他说,在一些最新的Android版本中,谷歌已经完成了一些“惊人的工作”来实现操作系统中的安全功能。

“我们在Android中看到了一些非常好的通用漏洞预防,但最重要的是,您已经未能完成安全基础并检查基本缺陷的这一层应用程序,”他补充道。

Lyne借鉴了“质量解决方案工程”的快速应用程序开发的巨额焦点,并在检查移动应用程序以获得糟糕的编程实践中的“几乎没有投资”。

“作为软件开发生命周期的一部分的任何基本渗透测试或质量保证流程都会捕获这样的东西,”Lyne说。

他说,企业的风险是,这种未能使用任何源代码扫描仪的攻击者可以通过任何源代码扫描仪挑选出初始安全控制。

“与此同时,企业将在过去的电脑上放在手机上的同样相同的敏感公司数据,并倾向于信任移动电话,”他说。“但这项研究表明,移动行业没有相同的检查和平衡或相同的成熟度。”

这意味着担心移动者将成为攻击者进入企业的轻松路线可能会被实现为PC和手机之间的线路继续模糊。

“移动应用程序和检查缺陷的流程中缺乏安全基础是现在的一个非常糟糕的组合,但在一到两年的时间内,当移动更多的移动数据时,他们有更大的信任地位,我们是Lyne说,可能最终有一个非常令人讨厌的混乱。“

攻击者意识到这种情况,可以利用大多数移动应用程序“离开门敞开”的事实,但他说,很难量化。

即使它没有被剥削,Lyne也说:“我们正在建立一个在一方的大规模信任的生态系统,另一方的缺乏诚信,这是一个真正烧伤我们的可怕组合。”

我们正在建立一个具有大规模信任的生态系统,另一方面是一个可怕的缺乏诚信,这是一个可怕的组合,可以真正烧詹姆斯·莱恩,索菲斯

他认为迫切需要基本变革,但表示监管不太可能提供必要的结果。

“创造一个具有足够特异性来推动所需的技术行为的监管框架是非常困难的,”Lyne说。

然而,他说,一些法律行动可以鉴于某种事实,即一些失败是如此伟大,不同时释放汽车到市场而不一次测试刹车,他们可以被归类为“疏忽”并合法地挑战。

但即使监管机构或其他人在疏忽地挑战现状,即使是疏忽的理由,Lyne表示不太可能推动任何重大变化。

“真正需要的是消费者或最终用户价值的变化,相信移动应用程序安全性很重要,但鉴于人们在手机中有不可能的是,大多数人都完全没有意识到瑕疵的事实,”他说。

“唯一可能破坏它的背部的东西是一个真正的,真正糟糕或令人讨厌的事件,这些事件是迫使公司因糟糕的媒体和消费者在安全方面变得更加警惕和苛刻。但与此同时,谁知道虹吸的数据是多少。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。