USD 76.02 ЕВРО 91.75

HP обнаруживает уязвимости в 9 из 10 мобильных приложений

Экономика

Тревожно большое количество уязвимостей обнаружено в корпоративных мобильных приложениях. Если HP может найти их, это могут сделать и злоумышленники.

Уязвимости мобильных приложенийТестирование, проводившееся с помощью HP Fortify (инструмента корпоративной безопасности), показало, что 90% мобильных приложений имеют, по крайней мере, одну уязвимость.

Компания использовала свой продукт Fortify On Demand for Mobile  для проверки состояния безопасности 2107 приложений от 601 компании из списка Forbes Global 2000. Тестировались только приложения для iOS, но HP заявляет, что есть все основания полагать, что те же проблемы существуют в аналогичных приложениях для Android.

В целом, проблемы попадают в одну из четырех категорий. Анализ показал, что 86% приложениям, которые имеют доступ к источникам личных данных, таких как адресная книга или Bluetooth-соединения, не хватает мер безопасности для защиты данных от несанкционированного доступа.

У 86% приложений недостаточно защищённый от потенциальных эксплойтов исходный код. Это относится к группе техник защиты, множество из которых реализовано просто с помощью установленных флажков в чекбоксах во время компиляции, которые защищают от таких атак, как переполнение буфера, раскрытия пути и обнаружения джейлбрейка.

75% приложений не шифруют данные перед сохранением на устройстве. Эти данные включают пароли, документы, логи чатов и всё остальное.

18% приложений передают данных по сети без использования SSL-шифрования. Еще 18% использовали SSL, но делали это неправильно. В результате, личные данные, передаваемые в открытом виде, доступны для любого злоумышленника из той же открытой Wi-Fi сети в кафе или библиотеке.

Майк Армистед, вице-президент и генеральный менеджер подразделения Enterprise Security Products  в HP, сказал, что 71% уязвимостей были, по сути, проблемами на серверной стороне приложений. Большинство из них имеют общие проблемы, такие как SQL-инъекции и межсайтовый скриптинг. Последствия этих проблем могут быть очень серьезными, а их исправление хорошо понятный процесс, если вы знаете, где именно есть проблемы.

Никто открыто не преуменьшает важность обеспечения безопасности при создании  мобильных приложений, но в корпоративном мире существует необходимость их быстрой  разработки и развертывания. Пользователи требуют их. И, похоже, это ставит безопасность  на задний план.

Выводы из исследования Fortify состоят в том, что разработчикам мобильных приложений нужно следовать советам и рекомендациям, если они не хотят подвергать своих пользователей и компании риску атак. Они должны сканировать свои приложения такими инструментами, как Mobile Fortify on Demand,  осуществлять тестирование на проникновение и принять один из многих подходов безопасного программирования.