惠普:企业自行开发的移动应用大多有安全漏洞

作者:星期四, 十二月 19, 20130
分享:

Android security

最新调查显示,大型企业开发的绝大多数移动应用都有安全漏洞,这可能会导致它们在未来感染严重的恶意软件。

惠普对来自600多家福布斯全球2000强企业的2100个移动应用进行了分析,结果发现90%都有潜在漏洞。最常见的安全漏洞包括滥用未加密数据、糟糕的开发做法、未加密数据存储以及使用不安全的协议来传输数据等。

这些分析结果表明,大部分企业更注重应用程序的速度而忽视了安全性。该研究报告的作者称,这些结果也表明企业在保护应用程序方面的经验不足。

惠普只测试了苹果iOS上运行的应用,但该公司表示,这个结果也适用于谷歌Android应用。

惠普测试的应用范围很广,从财务和营销类应用到生产力和生活方式类应用。最常见的漏洞都是很基本的问题,例如没有使用二进制保护,而这只需要在编译应用前在软件开发工具包中勾选一个选项即可。

二进制保护可以防止缓冲区溢出,使攻击者更难对应用进行逆向工程来进一步寻找漏洞或者制造仿冒版本。

惠普还发现,大多数应用在将数据存储到设备前并没有正确地加密数据。此外,这些应用连接到的Web服务器也容易受到常见攻击技术的攻击,例如SQL注入和跨站脚本,这些攻击都可以通过移动应用来进行。

其他安全问题还包括,五分之一的应用通过HTTP发送用户名和密码,而不是更安全的传输协议HTTPS。同时,相同数量的应用还没有正确地部署HTTPS。

另外还存在侵犯隐私问题,惠普发现有些应用发送聊天记录、地理位置数据和联系人列表到第三方网站。

移动应用安全:重点是快速推出还是安全性?

“现在企业最关注的是尽可能快地推出这些新应用,”惠普副总裁兼企业安全产品总经理Mike Armistead表示,“软件一直受到这个问题的影响,编写软件的人员想的更多的是软件的功能,而没有考虑攻击者会如何对其进行攻击。”

开发人员并没有被要求部署更耗时的安全做法,因为移动设备从未遭遇过重大恶意软件感染。佐治亚理工大学和安全供应商Damballa的最新研究发现,全球范围内,移动设备的感染率为0.0009%,或者说低于美国死于灾难性风暴的几率。

然而,个人电脑方面的趋势显示,台式机和笔记本的销售数量都在下降,而平板电脑和智能手机出货量正在上升。最终,后者将会更加吸引攻击者,因此,开发者必须现在开始准备,构建更好的安全性到其应用中。

Trustwaves SpiderLabs部门主管Charles Henderson表示:“明智的安全做法是考虑恶意软件‘何时’而不是‘是否’会成为一个问题。”

虽然惠普的研究主要侧重于大型企业,但咨询公司Bishop Fox高级安全分析师Joe DeMesy表示,初创公司的移动应用同样存在漏洞。这些年轻的创新者并没有足够的钱来部署安全性,他表示:“这也是初创公司出现漏洞的原因,因为预算原 因,他们不得不偷工减料,以快速进入市场。”

惠普认为,对于欠缺移动应用安全性的企业而言,这个研究是一个警告。为了解决这个问题,企业需要更密切地评估其应用,至少要知道风险所在。

“一旦你知道风险,就可以确定哪些风险需要马上解决,哪些还可以先放一放,”Armistead表示,“软件附带漏洞;软件将带着漏洞出货。保护好用户是企业的责任。”

分享:

相关文章

写一条评论

 

 

0条评论