视频: Как быстро научиться читать по-французски#2: ЛЕГКИЕ СЛОВА (十一月 2024)
应用程序经常可以访问不需要的数据,也可以使用与它们无关的硬件和服务。 最近的一项研究表明,这些问题比我们想象的要广泛得多。
根据上个月发布的研究报告,惠普研究人员在10月至11月之间检查了2, 000多个iOS应用程序,发现十分之九的应用程序存在严重漏洞。 问题的范围包括拥有太多权限,未加密的数据以及不安全地传输数据。 游戏不需要访问您的地址簿,而且天气应用程序实际上没有任何理由有权发送电子邮件。 如果某个应用程序无法保护其有权访问的数据,或者无法正确保护其使用核心操作系统组件的方式,则该设备很容易受到攻击。
惠普Fortify企业安全产品部门副总裁兼总经理Mike Armistead说,移动设备是“攻击的主要目标,易受攻击的应用程序可以访问敏感数据。”
在这项研究中,研究人员使用HP Fortify on Demand自动二进制和动态分析引擎测试了2107个应用程序,这些应用程序从22种不同的类别中进行了选择,包括生产力和社交网络。 尽管研究侧重于自定义企业应用程序,但可以假设我们会在Apple App Store或Google Play上找到类似的安全和隐私问题。
不保护数据
几乎所有的测试应用程序中有97%的应用程序访问了至少一个“私人信息源”,例如个人通讯录和社交媒体页面,或者利用了蓝牙或Wi-Fi连接。 研究发现,令人担忧的是,这些应用程序中多达86%的应用程序没有适当的安全措施来确保私有数据受到保护。
研究发现,大约有75%的应用程序在将数据存储在移动设备上时未正确使用加密。 未受保护的数据包括密码,个人信息,会话令牌,文档,聊天记录和照片。
令人放心的是,在研究中测试的应用程序中,只有18%的应用程序通过HTTP发送用户名和密码,而其余应用程序使用SSL / HTTPS。 但是,在使用安全传输模式的用户中,将近20%的SSL / HTTPS实现不正确。 这意味着数据仍然容易受到恶意攻击者的嗅探。
开发人员需要加强
通常,移动操作系统(Android和iOS都一样)在明确描述应用程序请求的权限方面会越来越好。 对于可以访问哪些类型的数据,也有更严格的指导。 但是,用户仍然有责任查看权限列表,了解其含义,并做出请求不合理的决定。
更好的情况是,开发人员从一开始就在应用程序中构建安全性和隐私性。 他们需要考虑自己的应用程序如何与其他应用程序和操作系统交互。 他们需要考虑其应用程序如何安全地访问数据。
惠普表示,企业需要从“快速投放市场”转向“安全快速投放市场”。
