Fördelarna med att ha tre lager av säkerhet
Dr. Ronald Ross, datavetare och kolleger vid National Institute of Standards and Technology, berättar Tonya Hall om vikten av att testa säkerheten och skiktning cyber försvar.
Sårbarheter i mobila applikationer 30 leverantörer av finansiella tjänster sätter institutionerna och deras kunder i riskzonen.
Utsatta källkod, känsliga uppgifter, med tillgång till backend-tjänster via Api: er och mer har avslöjats efter en forskare hämtade Android olika finansiella appar från Google Play butik och fann att det tog i genomsnitt, bara åtta och en halv minut innan de var att läsa koden.
Sårbarheter bland annat brist på binära skydd, osäkra data lagring, oavsiktliga läckage, svag kryptering och mer fanns i bank, kreditkort och mobil betalningar appar och är en detaljerad rapport från it-säkerhetsföretaget Arxan: I Vanlig Syn: Sårbarheten Epidemi i Finansiella Mobila Appar.
“Det är uppenbart att en systemisk fråga här – det är inte bara ett företag, är det 30 företag och det är på flera finansiella tjänster vertikaler,” Alissa Knight, it-säkerhet analytiker på global research och rådgivande företag Webbplats Grupp och forskaren bakom studien berättade ZDNet.
De allra flesta – 97 procent av de appar som testades var fann att bristen binär kod-skydd, vilket gör det möjligt att rekonstruera eller dekompilera apps utsätta källkoden till analys och manipulation. Och 90 procent av de appar som testat upplevt oavsiktliga läckage, exponera data från finansiella app till andra program på enheten, medan 80 procent av de appar testade visade sig ha genomfört svag kryptering, potentiellt tillåter angripare att dekryptera känsliga uppgifter.
Men en svaghet som finns i 83 procent av de appar som testats, kan potentiellt ge en gåva till cyber anfallare: dessa program konstaterades att lagra data på ett osäkert sätt, ibland i enhetens lokala filsystemet, och Riddaren tyckte det var möjligt att utvinna vad som ska vara dolda API-nycklar.
“API-nycklar är i princip som eget lösenord som du inte vill komma ut. Vad som var en systemisk hitta på flera finansiella tjänster mobile apps var att dessa privata API-nycklar var som finns i koden,” sade hon.
“Det är nästan som om utvecklarna som skrev koden inte inser att det är möjligt att verkligen bläddra i katalogstrukturen i denna mobil app och dra dessa filer ut, dra nycklar ur underkataloger”.
Om en angripare kan få tag på dessa “kronjuvelerna”, skulle det vara möjligt för dem att åter syfte Api: er för ont uppsåt.
“Om jag har tillgång till källkoden för programmet, kan jag då ändra Webbadresser och påverka hur appen fungerar och där den skickar data till,” Knight sade.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Bolaget har inte identifierat några av apparna som så att de inte lägga till ytterligare risk, men sade att dessa attacker är inte teoretiska.
“Vi såg en hel del av det som händer i Östra Europa förra året, med denna ompackning och distribution av appar. De var på väg till en legitim bank, men också exfiltrating alla data på samma gång,” Rusty Carter, VP product management på Arxan berättade ZDNet.
“Det är tydligt att det finns ett problem här. Du måste veta att motståndarna börjar rikta detta område. Detta är den nya gränsen, detta är ett nytt område i fokus för motståndare och denna rapport är tänkt att få finansiella tjänster företag för att se hur stora problem de har kommit hit och hur de kan ta itu med det,” sade hon.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
It-säkerhet är trasig: Här är hur vi börja fixa itThis dataintrång svar verktyg som berättar för dig vad du ska göra nästa [MAG]Detta malware som maskerar sig som en bank som säkerhet för raid din account5 sätt att korrekt säkra ny teknik [TechRepublic]säkerhetsbrister som finns i 26 low-end cryptocurrencies
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter