חברת האבטחה IOActive, אשר ניתחה למעלה מ-60 אפליקציות בנקאיות מרחבי העולם, מצאה כי רבות מהן פגיעות לתקיפות שונות וחושפות. . .
מידע רגיש. במהלך המחקר, נבדק כיצד האפליקציות מתקשרות עם השרתים, איך הן מאחסנות את המידע באופן מקומי, האם כלולות בהן אפשרויות אבטחה, איזה מידע הן חשפו ב-Logs שלהן והאם היו פגיעויות בקוד שלהן.
המחקר חשף כי את כלל האפליקציות היה ניתן להתקין על מכשיר פרוץ (Jailbroken). מדובר על סיכון אבטחתי בפני עצמו היות ומכשירי אלו נעדרים הגנות וכתוצאה מכך האפליקציות הרצות על המכשיר יכולות להגשת למשאבים מוגבלים של אפליקציות אחרות, אשר במכשירים שאינם פרוצים, לא היו נגישים עבורן. כמו כן, נמצא כי בעוד שאפליקציות בנקאיות משתמשות בהצפנת SSL לתקשורת מוצפנת, למעלה מ-90% מהאפליקציות שנבדקו הפעילו התקשרויות לא מוצפנות במהלך פעולתן. דבר זה מאפשר לתוקף המיירט את התעבורה, למשל ברשת אלחוטית בלתי מאובטחת, לבצע הזרקת קוד, על מנת, למשל, ליצור Login מזויף על מנת להוציא לפועל מתקפות הנדסה חברתית. בנוסף, 40% מהאפליקציות שנבחנו לא תקפו (Validiate) את האותנטיות של התעודות הדיגטליות שהן קבלו מהשרת, דבר שהופך אותן לפגיעות לתקיפות Man in the Middle תוך שימוש בתעודות מזויפות.
דרך מערכת ה-Log של ה-iOS, אפליקציות רבות חשפו מידע רגיש דוגמת שמות משתמשים וסיסמאות, כמו גם נתיבי URL מוסתרים אשר היה יכול לחשוף את מבנה השרת. אפליקציות אחרות חשפו מידע רגיש בדוחות התקלה שלהם, מידע אשר יכול לעזור לתוקפים למצוא ולפתח נקודות תורפה הקיימות בהן, ובכמה אפליקציות נמצאות נתוני הזדהות אשר הופיעו בקוד שלהן. בנוסף, נמצאו כי 20% מהאפליקציות שנבחנו לא נבדקו באמצעות כלי תוכנה ייעודיים שמטרתם למנוע תקיפות כנגד הזכרון (Memory corruption attacks).
בכדי להתמודד עם איומים מסוג זה, אנו מציעים מבדקי מובייל ייעודיים, במסגרתו מומחינו מזהים את הסיכונים הנגזרים מאפליקציות מובייל כמו גם מהשימוש במכשירים ניידים לעבודה בארגון, וממליצים באופן אופטימלי על פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. בנוסף, ניתן לקבוע כללי שימוש המגנים על הארגון מפני זליגת מידע עסקי. באם ברצונך לשמוע פרטים נוספים אנא צור עמנו קשר.
לידיעה המלאה- כאן