I vantaggi di avere tre strati di protezione
Dr. Ronald Ross, computer scienziato e ricercatore presso l’Istituto Nazionale di Standard e Tecnologia, racconta Tonya Hall sull’importanza dei test di sicurezza e livelli di cyber difesa.
Vulnerabilità di sicurezza di applicazioni mobili di 30 fornitori di servizi finanziari stanno mettendo le istituzioni e i loro clienti a rischio.
Esposto il codice sorgente, dati sensibili, l’accesso ai servizi di backend tramite Api e di più, sono stati scoperti dopo che un ricercatore scaricato Android finanziarie e varie applicazioni da Google Play store e ha scoperto che ci sono voluti in media, solo otto minuti e mezzo prima che fossero lettura di un codice.
Vulnerabilità tra cui la mancanza di binari protezioni, insicuro di archiviazione dei dati, non intenzionali, perdita di dati, crittografia debole e più sono stati trovati, nel settore bancario, carta di credito e dei pagamenti mobile apps e sono dettagliati report da cyber security azienda Arxan: In bella Vista: La Vulnerabilità Epidemia Finanziari Mobile.
“C’è chiaramente un problema sistemico qui – non è solo una società, si tratta di 30 aziende ed è in più di servizi finanziari verticali,” Alissa Cavaliere, la sicurezza informatica analista globale di ricerca e consulenza Aite Group e il ricercatore di studio detto a ZDNet.
La stragrande maggioranza (il 97 per cento delle applicazioni testati sono stati trovati per mancanza di un codice binario, protezioni, rendendo possibile disassemblare o decompilare l’app di esporre il codice sorgente per l’analisi e la manomissione. E il 90% delle applicazioni testato con esperienza involontaria perdita di dati, l’esposizione dei dati finanziari app per altre applicazioni sul dispositivo, mentre l ‘ 80 per cento delle applicazioni testati sono stati trovati per avere implementato crittografia debole, potenzialmente permettendo agli aggressori di decrittografare i dati sensibili.
Ma una debolezza trovato in 83 per cento delle applicazioni testate, potenzialmente in grado di garantire un dono per gli aggressori: queste applicazioni sono stati trovati per memorizzare i dati in modo non sicuro, a volte nel dispositivo nel file system locale e Cavaliere scoperto che era possibile estrarre ciò che deve rimanere nascosto chiavi API.
“Chiavi API sono fondamentalmente privata password non si vuole uscire. Quello che era un sistemica trovare tra più servizi finanziari mobile è stata che queste privato chiavi API venivano trovati in codice,” ha detto.
“È quasi come se gli sviluppatori che ha scritto il codice non rendersi conto che è possibile sfogliare la directory in cui la struttura di questa app mobile e tirare questi file, estrarre le chiavi di sottodirectory”.
Se un utente malintenzionato può entrare in possesso di questi “gioielli della corona”, ci sarebbe la possibilità per loro di ri-uso delle Api per dolo.
“Se ho accesso al codice sorgente dell’app, posso quindi modificare l’Url e modificare la modalità di che app si comporta e dove invia i dati,” il Cavaliere ha detto.
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
La società non ha individuato alcuna delle applicazioni in modo da non aggiungere ulteriori rischi ma ha detto che questi attacchi non sono teorici.
“Abbiamo visto un sacco di ciò che accadeva in Europa Orientale lo scorso anno, con questo riconfezionamento e la distribuzione delle applicazioni. Essi erano in cammino per un legittimo della banca, ma anche esfiltrare tutti i dati allo stesso tempo,” Rusty Carter, VP of product management in Arxan detto a ZDNet.
“Chiaramente c’è un problema qui. Hai bisogno di sapere che gli avversari stanno cominciando a target di questa zona. Questa è la nuova frontiera, questa è una nuova area di messa a fuoco per gli avversari e questo rapporto è destinato a ottenere le società di servizi finanziari a vedere quanto grande di un problema che ho avuto qui e come si può risolvere”, ha detto.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Cybersecurity è rotto: Ecco come si può iniziare a correzione itThis violazione di dati strumento di risposta ti dice cosa fare per il prossimo [CNET]Questo malware si traveste da banca di sicurezza per razziare il tuo account5 modi per proteggere in modo adeguato la nuova tecnologia [TechRepublic]le falle di Sicurezza trovato in 26 di fascia bassa cryptocurrencies
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati