غالبية تطبيقات الهاتف المحمول بها عيوب أمنية خطيرة

تتمتع التطبيقات في كثير من الأحيان بحق الوصول إلى البيانات التي لا تحتاج إليها ، أو أذونات استخدام الأجهزة والخدمات التي لا علاقة لها بما تفعله. أظهرت دراسة حديثة أن المشكلات أكثر انتشارًا مما توقعنا.

فحص باحثو HP أكثر من 2000 تطبيق iOS بين أكتوبر ونوفمبر ووجدوا أن تسعة من بين كل عشرة تطبيقات لديها نقاط ضعف خطيرة ، وفقاً للدراسة التي صدرت الشهر الماضي. تراوحت المشكلات من وجود الكثير من الأذونات والبيانات غير المشفرة ونقل البيانات بشكل غير آمن. لا تحتاج الألعاب إلى الوصول إلى دفتر العناوين الخاص بك ، وليس هناك حقًا سبب يدعو تطبيق الطقس إلى الحصول على إذن لإرسال رسالة بريد إلكتروني. إذا كان التطبيق لا يحمي البيانات التي لديه حق الوصول إليها ، أو يؤمن بشكل صحيح كيفية استخدام مكونات نظام التشغيل الأساسية ، يصبح الجهاز عرضة للهجوم.

وقال مايك أرميستيد ، نائب الرئيس والمدير العام لمجموعة منتجات أمان المؤسسات في HP Fortify ، إن الأجهزة المحمولة هي "الأهداف الرئيسية للهجوم ، حيث توفر التطبيقات الضعيفة إمكانية الوصول إلى البيانات الحساسة".

في الدراسة ، استخدم الباحثون محرك التحليل الآلي والديناميكي HP Fortify on Demand لاختبار 2،107 تطبيقات ، تم اختيارها من 22 فئة مختلفة ، بما في ذلك الإنتاجية والشبكات الاجتماعية. على الرغم من أن الدراسة ركزت على تطبيقات المؤسسات المخصصة ، فليس من المفترض افتراض وجود مشكلات أمنية وخصوصية مماثلة في التطبيقات التي سنجدها على Apple App Store أو Google Play.

لا تحمي البيانات

تم الوصول إلى جميع التطبيقات المختبرة - 97 بالمائة تقريبًا - على الأقل "مصدر معلومات خاص" واحد ، مثل دفاتر العناوين الشخصية وصفحات الوسائط الاجتماعية ، أو استفادت من اتصال Bluetooth أو Wi-Fi. وجدت الدراسة أن ما يثير القلق هو أن 86 في المائة من تلك التطبيقات لم يكن لديها تدابير أمنية كافية لضمان حماية البيانات الخاصة.

وجدت الدراسة أن حوالي 75 بالمائة من التطبيقات تستخدم التشفير بشكل غير صحيح عند تخزين البيانات على الأجهزة المحمولة. تضمنت البيانات غير المحمية كلمات المرور والمعلومات الشخصية ورموز الجلسة والوثائق وسجلات الدردشة والصور الفوتوغرافية.

كان من المطمئن أن نرى أن 18 بالمائة فقط من التطبيقات التي تم اختبارها في الدراسة أرسلت أسماء مستخدمين وكلمات مرور عبر HTTP بينما تستخدم التطبيقات المتبقية SSL / HTTPS. ومع ذلك ، من بين أولئك الذين يستخدمون الوضع الآمن للإرسال ، كان لدى حوالي 20 بالمائة تطبيقات SSL / HTTPS غير صحيحة. هذا يعني أن البيانات لا تزال عرضة لاستنشاق المهاجمين الضارين.

المطورين بحاجة إلى تصعيد

بشكل عام ، تتحسن أنظمة تشغيل الأجهزة المحمولة - Android و iOS على حد سواء - بشكل صريح في وصف الأذونات التي يطلبها التطبيق. هناك أيضًا إرشادات أكثر صرامة حول نوع تطبيقات البيانات التي يمكن الوصول إليها. ومع ذلك ، لا يزال العبء يقع على المستخدم للنظر في قائمة الأذونات وفهم الآثار المترتبة عليها واتخاذ القرار بأن الطلبات غير معقولة.

سيكون السيناريو الأفضل هو قيام المطورين ببناء الأمان والخصوصية في التطبيقات من البداية. يجب عليهم التفكير في كيفية تفاعل تطبيقاتهم مع التطبيقات الأخرى ونظام التشغيل. يجب عليهم التفكير في كيفية وصول تطبيقاتهم بشكل آمن إلى البيانات.

وقال HP إنه يتعين على الشركات التحول من "سريع إلى سوق" ، و "آمن وسريع إلى السوق".