De voordelen van het hebben van drie lagen van beveiliging
Dr. Ronald Ross, computer wetenschapper en onderzoeker verbonden aan de National Institute of Standards and Technology, vertelt Tonya Hall over het belang van het testen van beveiliging en gelaagdheid cyber defense.
Beveiligingsproblemen in de mobiele applicaties van 30 aanbieders van financiële diensten leggen de instellingen en hun klanten in gevaar.
Blootgesteld broncode van gevoelige gegevens, de toegang tot de backend services via Api ‘ s en meer zijn ontdekt na een onderzoeker gedownload Android diverse financiële apps uit de Google Play store en vond dat het duurde gemiddeld acht en een halve minuut voordat ze werden het lezen van de code.
Kwetsbaarheden, waaronder het ontbreken van binaire beveiligingen, onveilige opslag van gegevens, onbedoeld lekken van gegevens, zwakke encryptie en meer werden gevonden in de bank -, creditcard-en mobiele betalingen apps en gedetailleerd verslag van cyber security bedrijf Arxan: In het Zicht: De Kwetsbaarheid van de Epidemie in de Financiële Mobiele Apps.
“Er is duidelijk een systemisch probleem hier – het is niet gewoon een bedrijf, het zijn 30 bedrijven en het is over meerdere financiële diensten verticalen,” Alissa Ridder, cyber security analyst bij internationale onderzoeks-en adviesbureau Aite Groep en de onderzoeker achter het onderzoek vertelde ZDNet.
De overgrote meerderheid van 97 procent van de apps getest werden gevonden gebrek binaire code bescherming, waardoor het mogelijk is om reverse engineering of decompilatie van de apps bloot source code analyse en manipulatie. En 90 procent van de apps getest ervaren onbedoeld lekken van gegevens, het blootstellen van gegevens uit de financiële app naar andere toepassingen op het apparaat, terwijl 80 procent van de apps getest werden gevonden te hebben geïmplementeerd zwakke encryptie, waardoor potentieel aanvallers om vertrouwelijke gegevens te decoderen.
Maar één zwakke plek gevonden in 83 procent van de apps getest, kan potentieel leiden tot een geschenk voor cybercriminelen: deze apps werden gevonden om gegevens op te slaan onveilig, soms in het apparaat lokale bestandssysteem en de Ridder vond het mogelijk was om te bepalen welke moeten worden verborgen API keys.
“API-sleutels zijn in feite dat de eigen wachtwoord die u niet wilt om eruit te komen. Wat is een systemische vinden over meerdere financiële diensten mobiele apps is dat deze private API sleutels werden aangetroffen in de code,” zei ze.
“Het is bijna alsof de ontwikkelaars die schreef de code niet wisten dat het mogelijk is om daadwerkelijk te zoeken in de directory structuur van deze mobiele app en trek deze bestanden uit, trek de sleutels uit submappen”.
Als een aanvaller in het bezit komen van deze “crown jewels”, zou het voor hen mogelijk om te re-doel van de Api ‘ s voor kwaadaardige bedoelingen.
“Als ik hebben toegang tot de broncode van de app, kan ik dan het wijzigen van de Url’ s en het veranderen van hoe de app zich gedraagt en waar deze gegevens worden verzonden naar,” Knight zei.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Het bedrijf heeft niet aangegeven welke van de apps, dus als het niet om additionele risico ‘ s, maar zei dat deze aanvallen zijn niet theoretisch.
“We zagen een heleboel van dit gebeuren in Oost-Europa het afgelopen jaar, met het verpakken en de distributie van apps. Ze gingen naar een legitieme bank, maar ook exfiltrating alle gegevens op hetzelfde moment,” Rusty Carter, vice-president product management bij Arxan vertelde ZDNet.
“Het is duidelijk dat er hier een probleem. U moet weten dat tegenstanders beginnen te richten op dat dit gebied. Dit is de nieuwe grens, dit is een nieuw aandachtsgebied voor tegenstanders en dit rapport is bedoeld om bedrijven in de financiële dienstverlening om te zien hoe groot van een probleem, heb hier en hoe ze dit kunnen aanpakken,” zei ze.
LEES MEER OVER CYBER CRIME
Cybersecurity is gebroken: we beginnen op te lossen itThis data breach response tool vertelt je wat je moet doen [CNET]Deze malware vermomt zich als bank zekerheid te raid uw account5 manieren beveiligd nieuwe technologie [TechRepublic]beveiligingsfouten vinden in 26 low-end cryptocurrencies
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters