Fordelene ved at have tre lag af sikkerhed
Dr. Ronald Ross, datalog og kolleger ved det Nationale Institut for Standarder og Teknologi, fortæller Tonya Hall om betydningen af test for sikkerhed og lagdeling cyber-forsvar.
Sikkerhedshuller i de mobile applikationer af 30 udbydere af finansielle tjenesteydelser, er at sætte institutioner og deres kunder i fare.
Udsat kildekode, følsomme data, adgang til backend services via Api ‘ er og flere er blevet afsløret, efter at en forsker har hentet Android forskellige finansielle apps fra Google Play butik, og fandt, at det tog i gennemsnit kun otte og et halvt minut, før de læser koden.
Sårbarheder, herunder mangel af binære beskyttelse, usikre data storage, utilsigtet datalækage, svag kryptering og mere blev fundet i bank -, kredit-kort og mobilbetalinger apps og er beskrevet i en rapport af cyber-sikkerhed, virksomheden Arxan: I et Almindeligt Syn: Sårbarhed Epidemi i Finansielle Mobile Apps.
“Der er helt klart et systemisk problem her – det er ikke bare en virksomhed, er det 30 virksomheder, og det er på tværs af flere finansielle tjenesteydelser brancher,” Alissa Knight, cyber-sikkerhed analytiker på globalt forsknings-og rådgivningsvirksomhed Aite Group og forskeren bag undersøgelsen fortalte ZDNet.
Det store flertal – 97 procent af de apps, der er testet det blev konstateret, at manglende binær kode-beskyttelse, der gør det muligt at foretage reverse engineering eller dekompilering af apps afsløre kildekoden til analyse og manipulation. Og 90 procent af de apps, der er testet oplevet en utilsigtet datalækage, og udsætter data fra finansielle app til andre programmer på enheden, mens 80 procent af de apps, testet, var fundet at have gennemført svag kryptering, potentielt gørende det muligt for angribere at dekryptere følsomme data.
Men en svaghed, der er fundet i 83 procent af de apps, der er testet, kan potentielt give en gave til cyber-angribere: disse apps var fundet til at gemme data på usikker vis, undertiden i enheden lokale filsystem og Ridder fundet, at det var muligt at udlede, hvad der skal skjules API-keys.
“API-keys er dybest set, at private adgangskode, som du ikke ønsker at få ud. Hvad der var en systemisk finde på tværs af flere finansielle tjenester, mobile apps var, at disse private API-keys blev fundet i koden,” sagde hun.
“Det er næsten, som om de udviklere, der skrev den kode, der ikke er klar over at det er muligt rent faktisk at gennemse den mappe struktur af denne mobile app, og træk disse filer ud, skal du trække nøgler ud af undermapper”.
Hvis en hacker kan få fat i disse “kronjuveler”, ville det være muligt for dem at re-formål Api ‘ erne for ondsindede hensigter.
“Hvis jeg har adgang til kildekoden af app’ en, kan jeg så ændre url ‘ er og ændre, hvordan programmet opfører sig, og hvor det sender data til,” Ridder sagt.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Selskabet har ikke identificeret nogen af de apps, så som ikke at tilføje yderligere risiko, men sagde, at disse angreb er ikke teoretisk.
“Vi så en masse for, at dette sker i det Østlige Europa sidste år, med denne ompakning og distribution af apps. De var på vej til en legitim bank, men også exfiltrating alle data på samme tid,” Rusten Carter, VP, product management hos Arxan fortalte ZDNet.
“Det er klart, at der er et problem her. Du har brug for at vide, at modstanderne er begyndt at målrette dette område. Dette er den nye grænse, dette er et nyt indsatsområde for fjender, og denne rapport er beregnet til at komme i finansielle virksomheder for at se, hvor stort et problem, de har fået her, og hvordan de kan løse det,” sagde hun.
LÆS MERE OM IT-KRIMINALITET
Cybersecurity er brudt: Her er, hvordan vi begynde at løse dendenne data, brud svar værktøj, der fortæller dig, hvad du skal gøre næste [CNET]Denne malware forklædt som bankgaranti til raid din account5 måder at korrekt sikre nye teknologi [TechRepublic]sikkerhedshuller fundet i 26 low-end lad os starte
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre