數字監識與安全服務供應商viaForensics近日公布了一項針對iOS與Andoid平臺百大移動程序的安全測試報告,顯示只有17%的程序完全通過安全測試,高達40%未能通過,其余程序則取得了漏洞警告。
以程序類別來區分,viaForensics所測試的金融程序所曝露的資料遠比社交網絡程序少,約有近75%的社交網絡未能通過安全測試,但只有25%的金融程序沒通過安全測試。沒通過安全測試的生產力程序有43%,沒通過安全測試的零售程序有14%。雖然未通過安全測試的零售程序比例很低,然而,其余的零售程序都得到漏洞警告,沒有任何零售程序完全通過該測試,歸納其主要原因來自于相關程序多半儲存了搜索歷史紀錄與姓名及住址等客戶資訊。
值得注意的是,知名的Groupon for Android未能通過測試的原因是可被取得密碼,而非官方的Starbucks程序甚至可找出16個數字的信用卡號碼。
viaForensics研究人員從76%的程序中找到使用者名稱,從69%的程序中發現應用程序數據,從10%的程序中找出密碼。根據該公司的說明,即使多數人不認為使用者名稱為機密資訊,但使用者名稱的確是資料非常重要的一部份,很多系統都只需要使用者名稱與密碼,取得使用者名稱后,便解決了50%的問題。目前只有少數的移動應用程序會保護使用者名稱。
而69%的應用程序不是未通過應用程序數據的測試就是得到警告,代表諸如私密通訊、個人信息或帳戶號碼有外泄的可能性,那些未通過測試的則是以清楚的文字呈現上述內容。
研究人員則在10%的應用程序中發現以清楚文字所儲存的密碼,是此一研究中最能對使用者安全造成直接威脅的發現。
viaForensics認為,根據此一研究結果,若使用者遺失的手機落到心懷不軌的人手上,可能帶來身份或金融竊盜的威脅,若黑客能夠取得一組密碼,再加上多個使用者密碼,就可對不同帳號采用同一密碼的使用者造成巨大的威脅。
移動應用程序的安全性尚未受到足夠的重視,一名昵稱為CyFi的10歲女童在本月舉辦的首屆DEFCON Kids黑客會議中展示她如何破解農場游戲,CyFi即利用程序中的漏洞加速游戲時間進行,讓農作物快速成長。
京公網安備 11010502049343號