移动应用风险图。信用:Zimperium在移动应用程序开发中,应用程序数据的服务器端存储仍然是重中之重。特别是,许多开发人员已经开始使用后端应用程序接口,使他们的应用程序能够实时向服务器查询信息,而不是回复存储在文件中的静态数据。然而,随着许多云存储服务被发现使用不安全的配置,数千个移动应用程序上的数据可能面临风险。当保护这些服务配置的任务落在应用程序开发人员而不是提供商身上时,就会出现一个主要挑战,比如亚马逊的AWS、谷歌的Firebase Storage或微软的Azure。当开发人员使用这些存储服务的目的正是为了让他们的API安全性得到考虑时,他们会将大部分精力投入到构建应用程序上,而不是保护存储的信息。这样的疏忽可能会威胁到许多应用程序开发者以及他们的雇主和用户。
2021年,移动安全公司Zimperium发现,超过14%的使用云存储的移动应用由于不安全的配置而面临风险。这项研究表明,在全球和所有行业,各种应用程序都容易受到公开身份信息(PII)、欺诈和不受监管的内部知识产权/配置共享的影响。
因为这些移动应用程序的安全性往往取决于云提供商的默认设置,所以开发人员可能甚至没有意识到可能会发生数据泄露。事实上,即使当云提供商向开发人员提供安全指南时,开发人员也可能不会遵守这些指南。
随着PII的曝光,各种各样的个人医疗数据、游戏应用、社交媒体应用和健身应用都面临风险。在欺诈支持方面,此类暴露使攻击者能够访问移动电子商务平台、交通应用、赌博应用上的用户数据以及财富500强移动钱包的支付信息。最后,整个入侵防御系统和系统面临着恶意数据篡改的威胁,主要的音乐应用程序、主要的新闻服务、财富500强软件公司、主要的机场和主要的硬件开发商。
总体而言,受不安全云服务器配置影响最大的垂直行业似乎是业务,风险为17.6%。为了降低这种风险,开发人员可以首先确保他们正在使用的云存储数据库不受外部干扰。此外,开发人员可以优先考虑安全的软件开发生命周期,以防止执行未初始化的代码。
归根结底,移动应用安全的挑战主要还是在于应用开发者本身。虽然一些组织可能会回避更广泛的变化,如修补始终在线的系统或更换易受攻击的硬件,但仅应用程序创建者就可以帮助防止许多威胁。一旦更多的开发人员承担起这一责任,保护移动应用就会成为一种常态,而不是事后的想法。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
