Исследователи HP утверждают, что 46% мобильных приложений неправильно используют шифрование. “Это поистине шокирующая цифра, поскольку сегодня уделяется так много внимания сохранности данных на мобильных устройствах”, — заявил главный технолог подразделения HP Enterprise Security Products Джейкоб Уэст корреспонденту eWeek.
Если углубиться в проблему, она предстает еще более серьезной. Сегодня разработчики мобильных приложений могут изучать опыт защиты, накопленный интернет-отраслью за последнее десятилетие и обобщенный в виде передового опыта. Они также могут использовать возможности шифрования, встроенные во многие наборы инструментов и среды разработки, обычно используемые для создания мобильных приложений. “Мы не видим, чтобы разработчикам мобильных приложений приходилось создавать собственные средства шифрования ad hoc, — продолжил Уэст. — Это та область, где в прошлом разработчики всегда допускали ошибки”. Тем не менее все еще существуют проблемы с шифрованием, поскольку, как правило, разработчики не являются одновременно экспертами по безопасности, считает Уэст. На них постоянно оказывается давление, чтобы они быстрее создавали и развертывали приложения. А это может отражаться на безопасности, добавил он.
Не ограничившись в своем исследовании только мобильными приложениями, HP обнаружила, что 80% приложений в целом сконфигурированы неправильно, что делает их незащищенными. “Даже если разработчики напишут прекрасный код и даже если изначальная конфигурация, созданная в процессе разработки, отвечает требованиям безопасности, существует вероятность изменения настроек во время эксплуатации и появления в защите брешей, которых не было при разработке и тестировании”, — отмечает Уэст. Он считает проблему неправильного конфигурирования приложений весьма серьезной. Чтобы уменьшить риски, говорит он, необходим обмен более полной информацией между разработчиками и эксплуатационниками. Последним необходимо лучше знать, как приложения создаются и как их правильно настроить. А разработчикам следует убедиться, что у эксплуатационников не будет возможности вносить факторы риски без необходимости, рекомендует Уэст.
Главная цель — Microsoft IE
Одно из многих направлений деятельности подразделения HP, занимающегося безопасностью, называется Zero Day Initiative (ZDI) и предусматривает плату исследователям за обнаруженные уязвимости. Затем эта информация используется для создания защиты, а также передается (с сознанием своей ответственности) тем производителям, которых она затрагивает.
В 2013 г. в рамках ZDI было получено больше сведений об уязвимостях в браузере Microsoft Internet Explorer, чем в каком-либо другом самостоятельном продукте, включая Oracle Java. В январе в отчете Cisco о состоянии безопасности в 2013 г. Java называется виновницей более чем 90% случаев взлома систем.
Первенство Internet Explorer как технологии, о которой ZDI сообщают чаще всего, несколько странно, сказал Уэст. Особенно в свете того, что за последние годы доля IE на рынке браузеров сокращается в связи с растущей популярностью Google Chrome, Mozilla Firefox и браузеров для мобильных устройств.
Так почему же IE представляет столь излюбленную мишень? Источником его уязвимости могут быть особенности пользователей IE, сказал Уэст. “Это те пользователи, за которыми охотятся их противники. Они чаще встречаются в бизнес-среде, — продолжал Уэст. — IE широко используется в системах, которые хотят взломать атакующие”.