En forholdsvis ny forskning nylig afsløret, at der er en skjult patch hul i Android-enheder. Forskere har brugt to år at analysere 1,200 Android-telefoner og præsenterer resultaterne under konferencen Hack in the Box i Amsterdam. Nu, ny forskning har tilføjet Android-økosystemet flere problemer.
Tilsyneladende, i alt 274 blev påvist fejl blandt toppen 50 Android mobile shopping apps. Alle af dem indeholdt sikkerhedsrisici. Forskningen er alvorlig bevis på Android svag sikkerhed - apps blev testet på tværs 34 kategorier sikkerhed testning.
relaterede Story: Tjek din telefon: Forskere Find skjulte Patch Gap i Android
Mere om forskning
Sikkerhed forskere fra Appknox og SEWORKS netop offentliggjort resultaterne af deres fælles indsats fokuseret på at vurdere sikkerheden i top 50 Android shopping apps på Google Play. Deres rapport har titlen ”Sikkerhed status i m-handel”. Den afslørede, at mindst 84% af disse shopping apps har mindst tre højt niveau sikkerhedshuller.
Mere specielt, blandt de 50 apps, analyserede forskerne, der er ingen app, der ikke har sikkerhedsrisici. 49 apps har mindst tre eller flere sikkerhedshuller, mens 28% har kritiske sikkerhedsproblemer, og 84% har tre eller flere problemer på højt niveau. I betragtning af den popularitet af de apps, resultaterne er vedrørende, ifølge rapporten.
Hvordan blev Apps Testet?
Forskerholdet brugte Fælles Svaghed Scoring System (CVSSv3.0) at klassificere sårbarheder. CVSS er branchens standard for vurdering af sværhedsgraden af edb-system sikkerhedshuller. CVSS tildeler hårdhed regnskabs som muliggør eksperter at prioritere svarene ifølge den særlig trussel.
De målinger, der er indsat for vurdering af sikkerhedsrisici er følgende:
- Attack vektor;
- Attack kompleksitet;
- Krævede privilegier;
- Bruger interaktion;
- Anvendelsesområde;
- Fortrolighed indvirkning;
- Integritet indvirkning;
- tilgængelighed indvirkning.
Hvad er for det meste om, er, at næsten alle de apps, eller 94% af dem, blev ramt med ubeskyttede eksport-modtagere. Hvad betyder? Android apps eksport-modtagere, der reagerer på eksterne broadcast meddelelser og kommunikere med andre apps, rapporten forklarer. For eksempel, når modtagere er ubeskyttede hackere kan ændre de apps adfærd til deres likings, og sæt også data, der ikke hører til de apps.
Endvidere, 64% af de apps blev ramt med ”App Udvidelse WebView klient.” Hvad betyder det? Når WebView klienter ikke er korrekt beskyttet i app extensions, hackere kan narre brugere til at indtaste følsomme personlige oplysninger i falske eller kopierede apps, som typisk resulterer i tab af brugerdata, skader, og SSL kompromiser.
relaterede Story: Over 700,000 Ondsindede apps fjernet fra Google Play i 2017
For at undgå eventuelle sikkerhedsrisici, app udviklere bør følge de sikkerhedsmæssige forskernes råd:
- Udviklere bør forblive i overensstemmelse med industristandarder;
- Udviklere bør gennemføre sikkerhed i udviklingen cyklus;
- Automatiseret mobil app sikkerhed test bør gennemføres;
- Manuel vurdering bør ske regelmæssigt;
- Udviklere bør strategize med mobil app sikkerhed eksperter.
For yderligere oplysninger, du kan downloade rapport.