Vídeo: Exploring JavaScript and the Web Audio API by Sam Green and Hugh Zabriskie (Setembre 2024)
Les aplicacions solen tenir accés a dades que no necessiten o permisos per utilitzar maquinari i serveis que no tenen res a veure amb el que fan. Un estudi recent demostra que els problemes estan molt més estesos del que ens pensàvem.
Els investigadors d'HP van examinar més de 2.000 aplicacions iOS entre octubre i novembre i van comprovar que nou de cada deu aplicacions tenien greus vulnerabilitats, segons l'estudi publicat el mes passat. Els problemes anaven des de tenir massa permisos, dades no xifrades i transmetre dades de manera insegura. Els jocs no necessiten tenir accés a la vostra llibreta d’adreces i, realment, no hi ha cap motiu perquè l’aplicació del temps tingui permís per enviar correu electrònic. Si una aplicació no protegeix les dades a les quals té accés o protegeix adequadament com utilitza els components del sistema operatiu principal, el dispositiu es torna vulnerable als atacs.
Els dispositius mòbils són "objectius principals per atacar, amb aplicacions vulnerables que ofereixen accés a dades sensibles", va dir Mike Armistead, vicepresident i director general del grup de productes de seguretat empresarial de HP's Fortify.
En l'estudi, els investigadors van utilitzar el motor d'anàlisi binari i dinàmic automatitzat HP Fortify on Demand per provar 2.107 aplicacions, seleccionades entre 22 categories diferents, inclosa la productivitat i les xarxes socials. Tot i que l’estudi es va centrar en aplicacions empresarials personalitzades, no és un sentit suposar que hi hagi problemes de seguretat i privadesa similars a les aplicacions que trobaríem a l’Apple App Store o a Google Play.
No protecció de dades
Gairebé tot, el 97 per cent de les aplicacions provades van accedir a almenys una "font d'informació privada", com ara llibretes d'adreces personals i pàgines de xarxes socials, o van aprofitar la connectivitat Bluetooth o Wi-Fi. El més preocupant és que un impressionant 86 per cent de les aplicacions no disposava de mesures de seguretat adequades per garantir la protecció de les dades privades.
L'estudi ha trobat aproximadament el 75 per cent de les aplicacions que utilitzen el xifrat de forma incorrecta per emmagatzemar dades en dispositius mòbils. Les dades no protegides incloïen contrasenyes, informació personal, fitxes de sessió, documents, registres de xat i fotografies.
Va ser tranquil·litzador comprovar que només el 18 per cent de les aplicacions provades en l'estudi enviaven noms de nom d'usuari i contrasenyes mitjançant HTTP, mentre que les aplicacions restants utilitzaven SSL / HTTPS. Tanmateix, dels que utilitzen un mode de transmissió segur, gairebé un 20% tenia implementacions incorrectes de SSL / HTTPS. Això vol dir que les dades continuen sent vulnerables als atacants malintencionats.
Els desenvolupadors necessiten accelerar-se
En general, els sistemes operatius mòbils, Android i iOS, milloren en descriure explícitament els permisos que demana l'aplicació. També hi ha directrius més estrictes sobre quin tipus d'aplicacions de dades poden accedir. Tot i això, la càrrega segueix per l’usuari per mirar la llista de permisos, comprendre les implicacions i prendre la decisió que les sol·licituds siguin raonables.
El millor escenari seria que els desenvolupadors integressin seguretat i privadesa a les aplicacions des del primer moment. Han de pensar en com interaccionen les seves aplicacions amb altres aplicacions i amb el sistema operatiu. Han de considerar com les seves aplicacions poden accedir de manera segura a les dades.
Les empreses han de canviar de "ràpid al mercat", a "segur i ràpid al mercat", va dir HP.
