移動(dòng)應(yīng)用安全：2021年的安全漏洞

通過(guò)測(cè)試、培訓(xùn)和認(rèn)真對(duì)待應(yīng)用程序安全，去年可以避免發(fā)生許多最大的應(yīng)用程序泄露事件。

2021年，當(dāng)全世界都在關(guān)注軟件供應(yīng)鏈攻擊時(shí)，另一個(gè)領(lǐng)域同樣也受到了圍攻：移動(dòng)應(yīng)用程序。

到2020年，移動(dòng)應(yīng)用的下載量將超過(guò)2000億次，這意味著移動(dòng)應(yīng)用面臨著復(fù)雜的網(wǎng)絡(luò)攻擊。Verizon調(diào)查的四分之一的公司遭遇過(guò)移動(dòng)或物聯(lián)網(wǎng)數(shù)據(jù)泄露。

回顧一下2021年最嚴(yán)重的移動(dòng)數(shù)據(jù)泄露事件，我們可以從中看出今年的情況。從Amazon Ring 和Slack等企業(yè)巨頭，到美國(guó)海關(guān)和邊境保護(hù)局(CBP)，這些移動(dòng)應(yīng)用程序入侵成為新聞?lì)^條。

Amazon Ring應(yīng)用程序泄露數(shù)據(jù)

2021年1月，Amazon Ring Neighbors 應(yīng)用程序中的一個(gè)安全漏洞泄露了在該應(yīng)用程序上發(fā)帖的用戶(hù)的確切位置和地址。盡管用戶(hù)帖子是公開(kāi)的，但該應(yīng)用程序通常不會(huì)顯示準(zhǔn)確的位置。該漏洞并未向應(yīng)用程序用戶(hù)顯示數(shù)據(jù)，而是收集了隱藏?cái)?shù)據(jù)，包括用戶(hù)的緯度、經(jīng)度和家庭住址。盡管自推出以來(lái)一直困擾著Amazon Ring Neighbors 和攝像頭的安全問(wèn)題，但Ring Neighbors應(yīng)用程序在2020年達(dá)到了1000萬(wàn)用戶(hù)。

Slack移動(dòng)應(yīng)用程序公開(kāi)用戶(hù)憑據(jù)

據(jù)去年1月的報(bào)道，Android移動(dòng)應(yīng)用程序的一個(gè)安全漏洞記錄了設(shè)備上的明文用戶(hù)憑證。受影響的客戶(hù)被要求重置密碼并擦除應(yīng)用程序數(shù)據(jù)日志。Slack號(hào)稱(chēng)擁有超過(guò)1200萬(wàn)的日常用戶(hù)。

SHAREit文件共享應(yīng)用程序易受遠(yuǎn)程代碼執(zhí)行攻擊

2月，ZDNet報(bào)道稱(chēng)，下載量超過(guò)10億的Android文件共享應(yīng)用程序中的漏洞已3個(gè)月沒(méi)被修復(fù)。SHAREit應(yīng)用程序的開(kāi)發(fā)人員忽略了一個(gè)可能被利用在智能手機(jī)上運(yùn)行惡意代碼的漏洞。SHAREit最終修復(fù)了漏洞，但在此之前，該代碼已被數(shù)百萬(wàn)人共享。

13款A(yù)ndroid應(yīng)用程序泄露數(shù)百萬(wàn)用戶(hù)數(shù)據(jù)

當(dāng)移動(dòng)應(yīng)用程序開(kāi)發(fā)人員無(wú)法確保通信安全時(shí)，會(huì)發(fā)生什么?這可能是2021年最大的手機(jī)入侵報(bào)告之一。今年4月，Check Point Research報(bào)告稱(chēng)，13款流行的Android應(yīng)用程序泄露了多達(dá)1億用戶(hù)的數(shù)據(jù)。開(kāi)發(fā)商未能保護(hù)第三方云服務(wù)，導(dǎo)致包括電子郵件、聊天信息、密碼和照片在內(nèi)的個(gè)人數(shù)據(jù)泄露。

ParkMobile漏洞影響2100萬(wàn)用戶(hù)

KrebsOnSecurity在黑市上發(fā)現(xiàn)了多達(dá)2100萬(wàn)名停車(chē)應(yīng)用程序用戶(hù)的賬戶(hù)信息。ParkMobile的開(kāi)發(fā)者隨后發(fā)現(xiàn)，第三方軟件泄露了包括客戶(hù)電子郵件地址、電話(huà)號(hào)碼和車(chē)牌號(hào)在內(nèi)的個(gè)人數(shù)據(jù)。ParkMobile現(xiàn)在因泄露用戶(hù)數(shù)據(jù)而面臨集體訴訟。

Klarna支付應(yīng)用程序暴露用戶(hù)余額

5月，Klarna的一款手機(jī)銀行應(yīng)用程序遭遇了安全漏洞，引發(fā)了廣大客戶(hù)的困惑。這款應(yīng)用的用戶(hù)只是短暫地看到了其他用戶(hù)的賬戶(hù)信息，而不是自己的。根據(jù)Klarna的披露，人為錯(cuò)誤導(dǎo)致信息以一種意想不到的方式被緩存。這起事件發(fā)生在Klarna獲得6.39億美元新投資后不久。

COVID Passport應(yīng)用程序暴露用戶(hù)

在黑客利用疫情的另一個(gè)例子中，加拿大COVID疫苗接種護(hù)照移動(dòng)應(yīng)用程序Portpass泄露了65萬(wàn)名用戶(hù)的個(gè)人數(shù)據(jù)。任何人都可以訪(fǎng)問(wèn)其網(wǎng)站上的個(gè)人資料，而這款移動(dòng)應(yīng)用程序不加密個(gè)人數(shù)據(jù)，而是以明文形式存儲(chǔ)。

漏洞應(yīng)用造成漏洞邊界

美國(guó)海關(guān)與邊境保護(hù)局(CBP)開(kāi)發(fā)的6款手機(jī)護(hù)照控制應(yīng)用程序泄露了多達(dá)1000萬(wàn)名旅行者的個(gè)人信息。一項(xiàng)審計(jì)發(fā)現(xiàn)，CBP未能掃描2016年至2019年間發(fā)布的91%的應(yīng)用程序更新來(lái)檢測(cè)漏洞。

Apple iMessage中的零日漏洞影響了9億臺(tái)設(shè)備

作為今年最大的移動(dòng)漏洞之一，Apple修復(fù)了iMessage中的一個(gè)0day漏洞，該漏洞使 iPhone、iPad、Watches和MacBooks的所有9億活躍用戶(hù)暴露在NSO集團(tuán)的間諜軟件之下。NSO利用這一漏洞監(jiān)視政治活動(dòng)人士。

安全問(wèn)題

今年許多最大的違規(guī)事件都來(lái)自我們年復(fù)一年看到的相同漏洞。大多數(shù)可以通過(guò)靜態(tài)代碼安全檢測(cè)、動(dòng)態(tài)移動(dòng)應(yīng)用程序安全測(cè)試、對(duì)移動(dòng)開(kāi)發(fā)人員的更好培訓(xùn)以及更加重視移動(dòng)應(yīng)用程序安全的意愿來(lái)預(yù)防。在通常的嫌疑人中：

今年許多規(guī)模最大的入侵事件都來(lái)自我們年復(fù)一年看到的相同漏洞。通過(guò)動(dòng)態(tài)的移動(dòng)應(yīng)用程序安全測(cè)試、對(duì)移動(dòng)開(kāi)發(fā)人員進(jìn)行更好的培訓(xùn)以及更認(rèn)真地對(duì)待移動(dòng)應(yīng)用程序安全的意愿，就可以避免大多數(shù)問(wèn)題。通常的懷疑對(duì)象有:

不安全的代碼允許攻擊者訪(fǎng)問(wèn)或控制。與 iMessage 的情況一樣，有缺陷的代碼可以讓攻擊者訪(fǎng)問(wèn)設(shè)備上的所有內(nèi)容。

移動(dòng)應(yīng)用程序和服務(wù)器之間不安全的網(wǎng)絡(luò)配置允許黑客進(jìn)行中間人攻擊。

設(shè)備上的不安全存儲(chǔ)允許惡意用戶(hù)或惡意軟件檢查敏感數(shù)據(jù)存儲(chǔ)。

泄漏數(shù)據(jù)的應(yīng)用程序，如Amazon Ring Neighbors應(yīng)用程序漏洞，都是由于編碼不當(dāng)造成的，因此需要進(jìn)行更好的代碼安全測(cè)試。

不安全的配置會(huì)通過(guò)網(wǎng)絡(luò)泄漏數(shù)據(jù)，因?yàn)橐苿?dòng)應(yīng)用程序、運(yùn)營(yíng)商和服務(wù)器之間的通信會(huì)造成復(fù)雜的攻擊面。

對(duì)敏感數(shù)據(jù)的不安全保護(hù)，如Klarna漏洞，意味著移動(dòng)應(yīng)用程序?qū)⒚艽a和信用卡信息等敏感數(shù)據(jù)以明文形式暴露出來(lái)。

今年的下一步該怎么做?

正如在2021年看到的那些移動(dòng)設(shè)備入侵，給企業(yè)造成了數(shù)十億美元的收入損失、修復(fù)成本、受損的品牌聲譽(yù)等等。然而，這類(lèi)違規(guī)行為將持續(xù)到2022年。

由于我們自己不安全的編碼實(shí)踐和缺乏足夠的測(cè)試，許多安全問(wèn)題是我們自己造成的。安全團(tuán)隊(duì)可以通過(guò)在軟件開(kāi)發(fā)的整個(gè)生命周期中測(cè)試應(yīng)用程序，更快地發(fā)現(xiàn)缺陷及安全漏洞，同時(shí)監(jiān)控生產(chǎn)中的所有移動(dòng)應(yīng)用程序，從而顯著降低來(lái)年發(fā)生移動(dòng)應(yīng)用程序重大安全漏洞事故的幾率。

文章來(lái)源：

https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches