Почти все мобильные приложений представляют риск для пользователей, утверждается в новом отчете разрабатывающего ПО подразделения Hewlett-Packard. Изучив 2017 приложений, выпущенных 601 корпорацией из списка Forbes Global 2000, HP обнаружила, что 97% приложений в той или иной форме получают доступ к хранящимся на устройстве пользователя сведениям личного характера.
Проведя новое исследование, Hewlett-Packard обнаружила, что 97% просканированных ею мобильных приложений имели доступ к хранящейся на устройствах информации личного характера.
HP сканировала приложения, чтобы увидеть, какие из них используют персональные данные, а затем тестировала имеющие доступ к этим данным приложения для выявления уязвимостей в их защите, рассказала корреспонденту eWeek Мария Бледсо, старший менеджер HP по маркетингу продуктов. “Если у некоторых из таких приложений могут быть законные основания для доступа к личным сведениям, то при наличии изъянов в защите они подвергают такую информацию риску”, — сказала Бледсо.
Исследование HP показало, что 86% мобильных приложений не применяют надлежащую защиту, которая способна оградить приложения от атак с использованием переполнения памяти и ограничить возможности атакующих изменять код для последующего использования в своих целях.
Ситуация усугубляется тем, что 75% изученных аналитиками HP мобильных приложений не применяют должным образом шифрование данных пользователей. По поводу использования разработчиками шифрования Бледсо сказала, что имеются специальные варианты для мобильных операционных систем.
“Главное в том, что разработчикам следует прибегать к рекомендованному для соответствующей операционной системы методу шифрования данных, а не записывать их в файловую систему без шифрования или с применением собственного метода шифрования”, — отметила Бледсо.
Шифрование является также слабым звеном при передаче данных с мобильного устройства в Интернет. С наступлением эпохи Интернета краеугольным камнем безопасности серверов и настольных ПК, имеющих выход в Интернет, является протокол шифрования Secure Sockets Layer (SSL). Он представляет также обязательную технологию для мобильных устройств. Хотя, по данным HP, реализуется он некорректно.
Исследование HP выявило, что из 82% использующих SSL приложений только в 18% этот протокол применяют корректно. А некорректное использование SSL позволят злоумышленнику перехватывать трафик и организовать атаку типа “man-in-the-middle”.
С точки зрения HP, заявила Бледсо, учитывая выявленные недостатки, для обеспечения безопасности приложений важно с самого начала встраивать в них средства защиты.
“Даже если приложение создается сторонней фирмой, тестирование защиты мобильного приложения перед передачей заказчику или выпуском в продажу способно помочь выявить и устранить большинство уязвимостей, — сказала Бледсо. — Если на ранних этапах разработки приложения сделать его безопасность приоритетной задачей, можно еще до развертывания приложения устранить недостатки его защиты”.
При проведении исследования HP воспользовалась собственной технологией сканирования приложений Fortify on Demand (FoD). Технология HP FoD for Mobile при невысокой цене, небольших затратах времени и без обращения к исходному коду приложений позволяет компаниям выявлять недостатки мобильных приложений с точки зрения их безопасности и защиты личных сведений, отметила Бледсо.