แอพมือถือส่วนใหญ่มีข้อบกพร่องด้านความปลอดภัยที่ร้ายแรง

แอปมักเข้าถึงข้อมูลที่ไม่ต้องการหรือสิทธิ์ในการใช้ฮาร์ดแวร์และบริการที่ไม่เกี่ยวข้องกับสิ่งที่พวกเขาทำ การศึกษาเมื่อเร็ว ๆ นี้แสดงให้เห็นถึงปัญหาที่เกิดขึ้นอย่างกว้างขวางกว่าที่เราคิด

นักวิจัยของ HP ตรวจสอบแอป iOS มากกว่า 2, 000 แอพระหว่างเดือนตุลาคมและพฤศจิกายนและพบว่าแอพเก้าในสิบนั้นมีช่องโหว่ร้ายแรงตามการศึกษาที่เผยแพร่เมื่อเดือนที่แล้ว ปัญหาเกิดขึ้นจากการมีสิทธิ์มากเกินไปข้อมูลที่ไม่ได้เข้ารหัสและการส่งข้อมูลอย่างไม่ปลอดภัย เกมไม่จำเป็นต้องเข้าถึงสมุดที่อยู่ของคุณและไม่มีเหตุผลใด ๆ ที่แอพพยากรณ์อากาศจะได้รับอนุญาตให้ส่งอีเมล หากแอปไม่ปกป้องข้อมูลที่มีการเข้าถึงหรือรักษาความปลอดภัยอย่างถูกต้องว่าจะใช้ส่วนประกอบระบบปฏิบัติการหลักได้อย่างไรอุปกรณ์ดังกล่าวอาจถูกโจมตีได้ง่าย

อุปกรณ์พกพานั้นเป็น "เป้าหมายหลักสำหรับการโจมตีด้วยแอพพลิเคชั่นที่เสี่ยงต่อการเข้าถึงข้อมูลที่มีความอ่อนไหว" นาย Mike Armistead รองประธานและผู้จัดการทั่วไปของกลุ่มผลิตภัณฑ์รักษาความปลอดภัยระดับองค์กรของ Fortify ของ HP กล่าว

ในการศึกษานักวิจัยใช้ HP Fortify on Demand อัตโนมัติและเครื่องมือวิเคราะห์แบบไดนามิกไบนารีเพื่อทดสอบการใช้งาน 2, 107 เลือกจาก 22 หมวดหมู่ที่แตกต่างกันรวมถึงการผลิตและเครือข่ายสังคม ในขณะที่การศึกษามุ่งเน้นไปที่แอปพลิเคชันขององค์กรที่กำหนดเอง แต่ก็ไม่ได้หมายความว่าปัญหาด้านความปลอดภัยและความเป็นส่วนตัวที่คล้ายคลึงกันจะปรากฏในแอพที่เราจะพบได้ใน Apple App Store หรือ Google Play

ไม่ปกป้องข้อมูล

เกือบ 97 ทั้งหมดของแอพที่ผ่านการทดสอบเข้าถึง "แหล่งข้อมูลส่วนตัว" อย่างน้อยหนึ่งแห่งเช่นสมุดที่อยู่ส่วนบุคคลและหน้าโซเชียลมีเดียหรือใช้ประโยชน์จากการเชื่อมต่อบลูทู ธ หรือ Wi-Fi สิ่งที่น่าเป็นห่วงคือ 86% ของแอปพลิเคชั่นเหล่านั้นไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอเพื่อให้แน่ใจว่าข้อมูลส่วนตัวได้รับการปกป้อง

แอปพลิเคชันประมาณ 75 เปอร์เซ็นต์ใช้การเข้ารหัสอย่างไม่ถูกต้องเมื่อจัดเก็บข้อมูลบนอุปกรณ์พกพา ข้อมูลที่ไม่มีการป้องกันรวมถึงรหัสผ่านข้อมูลส่วนตัวโทเค็นเซสชั่นเอกสารบันทึกการแชทและรูปถ่าย

มีความมั่นใจที่จะเห็นว่ามีเพียง 18 เปอร์เซ็นต์ของแอปพลิเคชันที่ทดสอบในการศึกษาได้ส่งชื่อผู้ใช้และรหัสผ่านผ่าน HTTP ในขณะที่แอพที่เหลือใช้ SSL / HTTPS อย่างไรก็ตามของผู้ที่ใช้โหมดการส่งที่ปลอดภัยเกือบ 20 เปอร์เซ็นต์มีการใช้งาน SSL / HTTPS ที่ไม่ถูกต้อง ซึ่งหมายความว่าข้อมูลยังคงมีความเสี่ยงที่จะถูกดมกลิ่นโดยผู้โจมตีที่เป็นอันตราย

นักพัฒนาจำเป็นต้องก้าวขึ้น

โดยทั่วไประบบปฏิบัติการมือถือ - ทั้ง Android และ iOS - กำลังดีขึ้นเกี่ยวกับการอธิบายอย่างชัดเจนถึงการอนุญาตแอพที่ร้องขอ นอกจากนี้ยังมีแนวทางที่เข้มงวดเกี่ยวกับประเภทของแอปข้อมูลที่สามารถเข้าถึงได้ อย่างไรก็ตามภาระยังคงอยู่ที่ผู้ใช้เพื่อดูรายการสิทธิ์เข้าใจความหมายและเพื่อทำการตัดสินใจว่าการร้องขอนั้นไม่มีเหตุผล

สถานการณ์ที่ดีกว่านี้ก็คือหากนักพัฒนาสร้างความปลอดภัยและความเป็นส่วนตัวในแอพตั้งแต่เริ่มต้น พวกเขาต้องคิดว่าแอพของพวกเขามีปฏิสัมพันธ์กับแอพอื่น ๆ และระบบปฏิบัติการอย่างไร พวกเขาต้องพิจารณาว่าแอพของพวกเขาสามารถเข้าถึงข้อมูลได้อย่างปลอดภัยได้อย่างไร

ธุรกิจจำเป็นต้องเปลี่ยนจาก "สู่ตลาดอย่างรวดเร็ว" เป็น "ปลอดภัยและรวดเร็วสู่ตลาด" HP กล่าว