(Nie)bezpieczne aplikacje mobilne w Google Play
Raport „Zagrożenie w pandemii: stan bezpieczeństwa aplikacji mobilnych” opracowany przez Synopsys Cybersecurity Research Center (CyRC) stanowi ostrzeżenie zarówno dla użytkowników smartfonów, jak i twórców oprogramowania. Jego autorzy przeanalizowali 3335 najpopularniejszych aplikacji w sklepie Google Play i przedstawili wyniki swoich badań w trzech obszarach: luki w zabezpieczeniach aplikacji open source, wyciek poufnych informacji oraz nadmierne wykorzystywanie uprawnień urządzenia mobilnego.
Luki w zabezpieczeniach oprogramowania typu open source
Oprogramowanie typu open source bardzo szybko zyskuje na popularności, co dotyczy również
aplikacji mobilnych. Aż 98 proc. analizowanych przez CyRC programów zawierało komponenty open source. Niestety, problem polega na tym, że 63 proc. z nich posiadało znane luki w zabezpieczeniach, zaś na jedną aplikację przypadało średnio 39 luk. Co istotne, 44 proc. wykrytych podatności wiązało się z wysokim ryzykiem ze względu na dostępność exploita.
- Biorąc pod uwagę, że te aplikacje zostały pobrane miliony razy i zawierają dane milionów konsumentów, zagrożenie bezpieczeństwa jest wysokie. Pamiętamy lukę typu open source w Apache Struts, która była główną przyczyną naruszenia w Equifax w 2017 r. W tym przypadku 147 milionów klientów miało ujawnione dane osobowe, to poważne zagrożenie zarówno w firmach, jak i wśród konsumentów - zauważa Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Potencjalne przypadki wycieku informacji
Wyciek informacji ma miejsce, kiedy programiści przypadkowo zostawiają dane osobowe lub poufne w kodzie źródłowym lub plikach konfiguracyjnych aplikacji. Badanie CyRC wykazało tysiące fragmentów poufnych informacji, które pozostały w aplikacjach. W tym 2224 haseł, tokenów lub kluczy, 10863 adresów e-mail oraz 392 795 adresów IP i adresów URL.
- Chociaż każdy z nich może sam w sobie zaszkodzić firmie, razem mogą stanowić dokładnie te informacje, których atakujący potrzebuje, aby uzyskać dostęp. Tokeny, klucze i hasła używane w połączeniu z adresami e-mail, adresami IP w systemach wewnętrznych mogą zapewniać dostęp do serwerów, systemów lub innych wrażliwych właściwości - zauważa Mariusz Politowicz.
Nadmierne uprawnienia mobilne
CyRC przeanalizowało uprawnienia w trzech kategoriach: normalne, wrażliwe i takie, których nie mogą używać aplikacje innych firm. Średnia uprawnień na jedną aplikację wynosiła 18. Autorzy raportu uznali 56 proc. uprawnień za normalne, 26 proc. zakwalifikowali do kategorii wrażliwe, zaś w przypadku 18 proc. stwierdzili, że nie nadają się do użytku przez aplikacje innych firm. W kilku skrajnych przypadkach niektóre aplikacje mobilne wymagały więcej niż 50 uprawnień! W jednym z przykładów, apka zdrowia i fitness z ponad 5 milionami pobrań, zażądała pozwolenia na uruchomienie na poziomie użytkownika root, co dawało jej dostęp do całego telefonu. Nie tylko jest to niepotrzebny poziom dostępu, ale może mieć poważne konsekwencje dla konsumentów, Podsumowując: użytkownicy muszą zrozumieć, jaki poziom dostępu zapewniają aplikacji, aby zagwarantować bezpieczeństwo swoich danych. Z kolei programiści aplikacji muszą też znać uprawnienia, o które proszą, ponieważ ostatecznie to oni są odpowiedzialni za konsekwencje potencjalnego naruszenia.
Źródło: marken.com.pl; bitdefender.pl
Consdata i Credit Agricole Bank Polska - Low-codowe Śniadanie Technologiczne
Toughbook wspiera żołnierzy na froncie, umożliwiając im komunikację
Czeski startup pomoże w ekspansji zagranicznej polskich firm i organizacji.
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Konsument
T-Mobile startuje w Polsce z nowym konceptem. Pozwoli klientom przetestować i doświadczyć najnowocześniejszych technologii
T-Mobile już od kilku lat realizuje strategię, która mocno skupia się na innowacjach i doświadczeniach klienta związanych z nowymi technologiami. Połączeniem obu tych elementów jest Magenta Experience Center – nowoczesny koncept, który ma zapewnić klientom możliwość samodzielnego przetestowania najnowszych technologii. Format, z sukcesem działający już na innych rynkach zachodnioeuropejskich, właśnie zadebiutował w Warszawie. Będą z niego mogli korzystać zarówno klienci indywidualni, jak i biznesowi.
Problemy społeczne
W Polsce brakuje dostępnych cenowo mieszkań. Eksperci mówią o kryzysie mieszkaniowym
– Większość osób – nawet ze średnimi, wcale nie najgorszymi dochodami – ma problem, żeby zaspokoić swoje potrzeby mieszkaniowe, ale też z tym, żeby po zaspokojeniu tych potrzeb, po opłaceniu wszystkich rachunków i opłat związanych z mieszkaniem, mieć jeszcze środki na godne życie – mówi Aleksandra Krugły z Fundacji Habitat for Humanity Poland. Jak wskazuje, problem stanowi nie tylko wysoki współczynnik przeciążenia kosztami mieszkaniowymi, ale i tzw. luka czynszowa, w której mieści się ponad 1/3 społeczeństwa. Tych problemów nie rozwiąże jednak samo zwiększanie liczby nowych lokali. Potrzebne są również rozwiązania, które umożliwią zaangażowanie sektora prywatnego w zwiększenie podaży dostępnych cenowo mieszkań na wynajem.
Konsument
Od 28 kwietnia Polacy żyją na ekologiczny kredyt. Zmiana zachowań konsumentów może odwrócić negatywny trend
Dzień Długu Ekologicznego, czyli data, do której zużyliśmy wszystkie zasoby, jakie w ciągu roku może zapewnić Ziemia, w tym roku w Polsce przypada 28 kwietnia, kilka dni wcześniej niż rok temu. Coroczne przyspieszenie tego terminu to sygnał, że czerpiemy bez umiaru z naturalnych systemów, nie dając im czasu na odbudowę. – Polskie społeczeństwo staje się coraz bardziej konsumpcyjne, kupujemy i wyrzucamy coraz więcej. Ale też nie mamy tak naprawdę efektywnego narzędzia, żeby temu zapobiec – ocenia Filip Piotrowski, ekspert ds. gospodarki obiegu zamkniętego z UNEP/GRID-Warszawa.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.