Nie ufajmy Apple i Google. Badania pokazują duże problemy
Eksperci ds. cyberbezpieczeństwa wykryli poważne zagrożenia w aplikacjach na Androida i iOS. Z raportu przygotowanego przez badaczy wynika, że ok. 40 procent wszystkich programów cechuje duża podatność na atak. Co ciekawe, powodem luk najczęściej są niewielkie przeoczenia, które kumulują się w poważne problemy.
Spis treści
Zaufana trzecia strona nie istnieje
Powierzanie bezpieczeństwa aplikacji i procesów stronom trzecim zawsze stanowi pewne zagrożenie. Wszyscy zdajemy sobie sprawę z faktu, że stuprocentowy sposób na uchronienie się przed wszystkimi problemami z bezpieczeństwem właściwie nie istnieje. Jednak znaczna część z nas nie jest gotowa na zmierzenie się z prawdą dotyczącą ludzkich zachowań w sieci. Bliższe przyjrzenie się popularnym usługom może zaowocować bardzo niepokojącymi wnioskami. Eksperci ds. cyberbezpieczeństwa z firmy Positive Technologies alarmują, że problemy występują w znacznie większej liczbie aplikacji, niż moglibyśmy się spodziewać. A to od nich w dużej mierze zależy przecież sposób, w jaki obecnie żyjemy.
Poważne luki w ok. 40% aplikacji
Informacji o obecnym stanie rzeczy możemy zaczerpnąć z wydanego przez Positive Technologies raportu zatytułowanego “Vulnerabilities and threats in mobile applications”. “Luki wysokiego ryzyka wykryto w 38 procentach aplikacji mobilnych na iOS oraz w 43 procentach aplikacji na Androida”, czytamy w publikacji. “(…) większość przypadków jest spowodowana słabościami mechanizmów bezpieczeństwa – odpowiednio 74 i 57 procent dla aplikacji na iOS i Androida oraz 42 procent po stronie komponentów serwera – ponieważ takie luki wkradają się na etapie projektowania, ich naprawa wymaga znacznych zmian w kodzie”.
Co gorsza, okazuje się, że poradzenie sobie z problemem nie będzie łatwe, bo szybki fix w większości przypadków nie zda egzaminu. “Ryzyko niekoniecznie wynika z jakiejkolwiek konkretnej luki po stronie klienta lub serwera”, wynika z raportu. “W wielu przypadkach jest ono wynikiem kilku pozornie niewielkich niedociągnięć w różnych częściach aplikacji mobilnej. Zebrane razem, te przeoczenia mogą mieć bardzo poważne konsekwencje”.
Niepewna przyszłość
Tak kiepskie wyniki bezpieczeństwa na obu liczących się systemach mobilnych nie stanowią dobrej wiadomości dla świata IT. Oznaczają ni mniej, ni więcej, tylko tyle, że duży biznes, który chce polegać na aplikacjach pobieranych ze Sklepu Play i App Store (a zasadniczo nie ma innego wyboru) i jednocześnie naprawdę serio traktuje kwestię bezpieczeństwa powinien zatrudniać własne zespoły delegowane do testów penetracyjnych oprogramowania. W praktyce jest to ekstremalnie trudne, bo oznacza to konieczność testowania każdej aplikacji, która miałaby zostać uruchomiona na firmowych tabletach i smartfonach, a nawet prywatnych urządzeniach pracowników podłączonych do służbowej sieci. Utrzymanie bezpieczeństwa takiego systemu nie sprowadzałoby się oczywiście do pojedynczego przetestowania wszystkich jego elementów: proces należałoby powtarzać przy każdej najdrobniejszej aktualizacji któregokolwiek programu.
Im większy dostawca usług, tym częstsze i groźniejsze są wymierzone w niego ataki. Prawdopodobnie Apple i Google mogliby po prostu wyłożyć odpowiednie sumy na zapewnienie bezpieczeństwa swoich aplikacji, ale zdaje się, że obecnie nikt tego od nich nie oczekuje. Wiele wskazuje na to, że tylko adekwatna presja ze strony użytkowników i inwestorów mogłaby wymusić pozytywne zmiany, ale przy obecnym duopolu się na to nie zanosi.
Źródło: ptsecurity.com, computerworld.com. Zdjęcie główne artykułu pochodzi z unsplash.com.