تقوم شركة Security Technologies ، وهي شركة أمنية ، بتحذير المستخدمين من توخي الحذر قبل تثبيت تطبيقات الهاتف المحمول على أجهزة Android أو iOS عند استغلال الثغرات الأمنية.
تأتي هذه الأخبار المروعة من سنوات عديدة لأنها ظهرت لأول مرة في دراسة GPEN 2014 لفشل خصوصية التطبيقات ، وفي عام 2017 ، والتحقيق في أمان تطبيق تداول الأسهم ، وفي نظرة Arxan لعام 2019 إلى أمان التطبيقات المصرفية والمالية.
اختبرت شركة Technologies Technologies 17 تطبيقًا متحركًا بشكل دقيق للتحقق من مستوى أمانها ، ووجدت الشركة نقاط ضعف كبيرة للمخاطر في تطبيقات Android تصل إلى 43 بالمائة ، وتحتوي 38 بالمائة من تطبيقات iOS على عيوب عالية الخطورة.
76 في المئة من التطبيقات لديها نظام تخزين بيانات غير آمن ، وهو أهم مخاطر أمنية موجودة.
على سبيل المثال ، التحقق من أرقام التعريف الشخصية على الهواتف المحمولة بدلاً من الخادم ، مما يزيد من خطر حدوث تسرب.
تم العثور على هذا الخلل في ما يقرب من 53 في المئة من التطبيقات.
وفقًا للتقرير ، هناك خطأ آخر متكرر يتمثل في استخدام لقطات غير آمنة. يلتقط الهاتف الذكي هذه الصور لحفظ الحالة الحالية للبرنامج عندما ينتقل المستخدم إلى تطبيق مختلف.
يجب أن تكون التطبيقات قادرة على إخفاء المعلومات الحساسة مثل أرقام بطاقات الائتمان أثناء إنشاء هذه اللقطات لمنع فقدان البيانات ، ولكن فشل 65 في المائة من التطبيقات.
35 في المئة من التطبيقات لديها نقل غير آمن للبيانات السرية وخلل في إدارة الجلسة بشكل غير صحيح. تتضمن أمثلة نقل البيانات غير الآمنة استخدام اتصالات HTTP غير الآمنة.
"لا تقيد 18 بالمائة من التطبيقات عدد محاولات المصادقة."
وفقًا للتقرير ، يكون نقل البيانات غير الآمن أقل بدرجة كبيرة على نظام التشغيل iOS ، ربما بسبب التدابير الوقائية في نظام التشغيل iOS 9.
الخلل الأكثر شيوعًا في نقاط الضعف هذه هو البرمجة النصية للمواقع المشتركة (XSS) بنسبة 86 بالمائة ، والتخويل السيء ، تسرب المعلومات الحساسة في رسائل الخطأ ، تسرب المعلومات يبلغ 43 بالمائة تقريبًا لكل منها.
اقرأ أيضًا: The Best Android Antivirus Apps لعام 2019
تتضمن أمثلة العيوب هذه نقل رقم هاتف المستخدم بالكامل والاسم في رد الخادم عبر جلسات الدردشة.
أضافت هذه الثغرات الأمنية مشكلة عدم حصانة أخرى مهمة من جانب الخادم وهي سوء التكوين. قد يكون للخادم ميزة TRACE لطلبات ممكّنة والتي تردد صدى طلبات HTTP التالية للمستخدم لأسباب تصحيح الأخطاء.
إذا تم دمج ميزة طلبات TRACE مع ثغرة أمنية في CSS ، يمكن أن تسمح للمتسللين بسرقة ملفات تعريف الارتباط.
"يحب المتسللون استهداف الأجهزة المحمولة ، الغنية بالبيانات الشخصية ومعلومات بطاقة الدفع. تشير نتائج [التقرير] إلى أن مطوري تطبيقات الهاتف المحمول غالباً ما يهملون الأمان ، حيث تتمثل القضية الرئيسية في عدم تخزين البيانات بشكل آمن. يتم تخزين معلومات المستخدم في شكل واضح [عادي] النص والبيانات غير المقنعة في لقطات الشاشة والمفاتيح وكلمات المرور في الكود المصدري ليست سوى عدد قليل من العيوب التي توفر فرصًا للمهاجمين الإلكترونيين. "
على الرغم من أن المطورين مسؤولون عن التطبيقات المستضعفة ، إلا أنه يتعين على بعض المستخدمين مشاركة اللوم أثناء قيامهم بتفكيك أجهزتهم التي تعمل بنظام أندرويد أو كسر الحماية على أجهزة iOS أو تخصيص واجهة لهم ، بعد تحذيرهم من الشركة. يمكن أن يسمح هذا للتطبيق بالوصول غير المقيد إلى البيانات الأساسية والواجهة.
"استخدم المصادقة البيومترية (بصمة أو صوت أو وجه) إذا كان جهازك يدعمها." ، يقترح التقرير.
ليست هناك تعليقات
إرسال تعليق