Celých 86 % mobilních aplikací, které přistupují k soukromým informacím uživatele, nedisponuje opatřeními pro obranu proti zneužití nejběžnějších slabin. Nejde přitom rozhodně jen o aplikace od nevýznamných vývojářů – ukazuje se, že bezpečnostní slabiny se nevyhýbají ani tak zásadním mobilním aplikacím, jako jsou ty pro mobilní bankovnictví. Jak lze tento problém řešit?
Loňská studie společnosti HP, ze které plyne první výše uvedený údaj, se zaměřila na více než 2100 aplikací zveřejněných více než šesti stovkami firem ze skupiny Forbes Global 2000. Jde tedy o významný vzorek trhu.
Ariel Sanchez ze společnosti IOActive si zase dal za cíl ověřit bezpečnost vybraných mobilních bankovních aplikací. I on zjistil, že nastavené bezpečnostní standardy jsou zřejmě nedostatečné a aplikace obsahují mnohé slabiny. Tak třeba 40 % jím zkoumaných aplikací neověřuje autentičnost SSL certifikátů a 9 z 10 jich obsahovalo nezabezpečené odkazy (bez SSL) umožňující útočníkovi vložit do datové výměny mezi klientem a bankou vlastní kód (HTML, JavaScript), díky němuž lze například zobrazit falešný přihlašovací dialog.
Zástupci společnosti HP objevili při své analýze tyto zásadní problémy, které jsou podle nich jak velmi běžné, tak snadno zneužitelné:
První z nich jsme již letmo zmínili výše - 97 % aplikací přistupuje k privátním datům, jako jsou adresáře, stránky sociálních médií nebo nastavení připojení pro Bluetooth či Wi-Fi – a 86 % z nich nedisponuje opatřeními pro obranu proti zneužití nejběžnějších slabin, jako je zneužití uložených nezašifrovaných dat, cross-site scripting nebo nezabezpečené přenosy dat.
Druhým častým problémem (86 % testovaných aplikací) jsou slabiny na binární úrovni, které je činí náchylnými na zneužití chyb jako je buffer overflow.
Tři čtvrtiny aplikací nepoužívají pro ukládání dat na mobilní zařízení odpovídající šifrování. Jde přitom i o taková data, jako jsou osobní informace, hesla, tokeny spojení, dokumenty, logy chatů nebo fotografie uživatelů. Zástupci HP varují, že nešifrovaných dat se mohou zmocnit útočníci, což typicky nejen porušuje firemní bezpečnostní pravidla, ale může to poškodit i reputaci firmy, když se její dokumenty dostanou ke konkurenci nebo třeba do médií.
Nezanedbatelným problémem jsou i nešifrované přenosy dat – 18 % testovaných aplikací přenáší uživatelská jména a hesla přes HTTP. Ze zbylých 82 procent prý pak 18 % nemá korektně implementováno SSL/HTTPS. Problém se přitom podle zástupců HP týká nejen mobilních aplikací, ale i jejich protějšků, příslušných webových aplikací.
“S tím, jak se mobilní zařízení stávají pro byznys stále kritičtější, stávají se také hlavními cíli útoků; aplikace se slabinami pak poskytují přístup k citlivým datům,“ vysvětluje Mike Armistead, viceprezident a ředitel divize Enterprise Security Products, Fortify, HP. Firmy by tak podle něj měly být vybaveny nástroji, které jim umožní nalézt a ošetřit chyby mobilních aplikací.
Zástupci HP rovněž upozorňují, že takřka všechny uvedené slabiny lze objevit prostřednictvím běžných předpřipravených bezpečnostních testů – nejlépe samozřejmě ještě před tím, než je aplikace uvolněna k použití. Příslušné služby nabízí i společnost HP.
Jak už bylo zmíněno výše, problém zabezpečení mobilních aplikací se týká i těch, jež jsou používány pro mobilní bankovnictví. Zatímco zástupci HP se při svém průzkumu soustředili na 76 různých odvětví, již zmiňovaný Ariel Sanchez ze společnosti IOActive se zaměřil právě jen na banky, a to z celého světa. Některá jeho zjištění jsou shodná s těmi od HP. Pokud vás zajímají další podrobnosti, přečtěte si k tomuto tématu podrobnější text v našem sesterském magazínu OnBusiness.
Analýzy společnosti Gartner tvrdí, že se letos celosvětově prodá zhruba stejně tabletů jako PC, chytrých telefonů pak nejméně čtyřnásobek. Do budoucna...
