Добавить в корзинуПозвонить
Найти в Дзене
FULL | }{@keR
2 подписчика

Уязвимости приложений Android в 2021 году

3
6 мин
Число пользователей смартфонов превысило отметку в 3,4 миллиарда в 2020 году. Эксперты ожидают, что к концу 2021 года эта цифра достигнет 3,8 миллиарда. Эти цифры указывают на то, что люди предпочитают смартфоны для личных и деловых целей. Хотя использование настольных компьютеров и ноутбуков правит предприятиями, развитие технологий смартфонов действительно бросило вызов их доминированию.
Оглавление

Число пользователей смартфонов превысило отметку в 3,4 миллиарда в 2020 году. Эксперты ожидают, что к концу 2021 года эта цифра достигнет 3,8 миллиарда. Эти цифры указывают на то, что люди предпочитают смартфоны для личных и деловых целей. Хотя использование настольных компьютеров и ноутбуков правит предприятиями, развитие технологий смартфонов действительно бросило вызов их доминированию. Современные смартфоны оснащены динамическими приложениями, молниеносной вычислительной технологией, поддержкой искусственного интеллекта, адекватными возможностями хранения и функциями круглосуточного подключения, чтобы заменить многие традиционные вычислительные устройства. С точки зрения безопасности, массовое появление смартфонов на рынке представляет собой угрозу безопасности; особенно приложения для смартфонов. В этой статье, мы рассмотрим основные уязвимости приложений Android, которые могут поставить под угрозу безопасность данных и конфиденциальность пользователей.

Ниже приводится краткое обсуждение некоторых критических уязвимостей Android-приложений, которые действительно существуют в 2021 году.

  • Небезопасная аутентификация - серьезная проблема для приложений Android. Уязвимость внесена в список 10 основных уязвимостей мобильной безопасности OWASP. Небезопасная аутентификация позволяет злоумышленнику анонимно выполнять запросы без токенов доступа. Приложения не могут идентифицировать пользователя, выполняющего запросы. Следовательно, невозможно зарегистрировать действия пользователя или выполнить аудит безопасности. Отслеживание маршрута атаки также практически невозможно из-за слабой уязвимости аутентификации или ее отсутствия в приложениях Android.
  • Неправильная проверка сертификата - это неспособность или сбой приложений Android для проверки сертификата SSL / TLS. Злоумышленник создает поддельный сертификат и отправляет его в приложение пользователя. Приложение с плохой системой проверки предполагает, что сертификат исходит от доверенного органа, что позволяет злоумышленнику подслушивать сообщения после проверки подлинности сертификата через посредника атаки.
  • Отказ двоичной защиты. Многие приложения Android, включая финансовые, уязвимы для атак обратного проектирования двоичного кода. Злоумышленники могут декомпилировать данные приложений, чтобы найти и выявить слабые места в приложениях. Например, некоторые приложения используют жестко запрограммированные ключи API в двоичных файлах. Злоумышленники могут легко потребовать эти ключи, если нет защиты двоичного кода. Обфускация двоичных файлов - это процесс защиты исходного кода мобильных приложений, чтобы злоумышленник не мог вмешаться в приложение. Однако различные исследования показывают, что большое количество приложений Android не может применять методы двоичной обфускации для защиты исходного кода.
  • Небезопасное хранилище данных - это старая уязвимость приложений Android, которая все еще существует в 2021 году. Согласно отчету Positive Technologies об угрозах мобильных приложений за 2019 год, проблема небезопасного хранения данных присутствовала в 76% мобильных приложений, протестированных компанией. Многие приложения, которые хранят конфиденциальные данные в локальном или внешнем хранилище, а не в изолированной среде, уязвимы для проблем с небезопасным хранением данных. Эта возможность позволяет хакерам красть конфиденциальные данные из таких приложений без физического доступа.
  • Уязвимость передачи данных. Некоторые приложения Android не могут реализовать безопасность SSL / TLS (они используют для аутентификации) для сетевого трафика. Данные без защиты транспортного уровня уязвимы для подслушивания или перехвата из-за того, что приложение не использует шифрование или меры безопасности. Приложение, использующее протокол HTTPS, часто уязвимо для такой атаки из-за поддельных сертификатов SSL / TLS, используемых для проверки соединения.
  • Грубые атаки. Bruetforce - это распространенная атака на мобильные приложения. Многие приложения Android используют четырех или шестизначный PIN-код как угрозу безопасности. Некоторые приложения не применяют ограничения на количество попыток угадать секретный пин. Такие мобильные приложения легко взломать простой атакой методом подбора
  • Утечка данных или обмен информацией - очень распространенная проблема приложений Android. Большинство приложений для Android, включая финансы и электронную коммерцию, собирают конфиденциальную информацию о пользователях. Часто собранные данные передаются другим приложениям или сторонним службам непреднамеренно, случайно или без согласия пользователя. NowSecure , мобильный программное обеспечение и услуги приложений безопасности поставщик, провел проверку безопасности 250 популярных приложений для Android предлагает финансы, розничную торговлю и путешествия услуг. Результаты показали, что 70% приложений были уязвимы для проблем утечки данных.
  • Неправильное обращение с сессией. Некоторые приложения Android предназначены для бесконечных или длительных сеансов, чтобы улучшить взаимодействие с пользователем. Хотя эта стратегия полезна с точки зрения бизнеса, эта функция также полезна для злоумышленников. Если злоумышленнику удастся получить доступ к точке сеанса, он может выдать себя за законного пользователя и даже получить административные привилегии.
  • Безопасность данных неполна без криптографии. Мобильные приложения также зависят от криптографических мер для защиты конфиденциальных данных. Однако некоторые приложения для Android используют слабую криптографию, что приводит к раскрытию данных непреднамеренным пользователям. 100% зависимость от встроенных процессов шифрования данных, использование настраиваемых и неутвержденных протоколов шифрования и хранение криптографических ключей в локальной файловой системе приложения (плохое управление ключами) - вот несколько примеров слабых криптографических подходов.
  • Небезопасное взаимодействие между процессами - еще одна критическая уязвимость, обнаруженная в приложениях Android. Строительные блоки приложения Android известны как компоненты приложения. Эти компоненты взаимодействуют друг с другом для обслуживания конечных пользователей. Один из основных компонентов приложений Android называется широковещательный приемник. Его роль - доставлять события в приложения, чтобы они могли отвечать на общесистемные широковещательные сообщения. Если злоумышленнику удастся зарегистрировать вредоносный код в качестве законного экземпляра широковещательного приемника, любая конфиденциальная информация, передаваемая компонентами Android, может быть перехвачена вредоносным ПО. Такой процесс позволяет злоумышленнику получить удаленный доступ к данным, обрабатываемым уязвимыми приложениями.

Заключение

Android и iOS - две широко используемые мобильные платформы. У обоих есть преимущества и недостатки с точки зрения обслуживания и безопасности. Ожидается, что в 2022 году Android займет 87% доли рынка. Это доминирование над другими мобильными операционными системами также создаст дополнительные проблемы безопасности для разработчиков Android. Вышеупомянутые уязвимости приложений являются основными угрозами безопасности в 2021 году, которые необходимо устранить, чтобы защитить данные и конфиденциальность миллиардов пользователей Android.

1