安全漏洞海啸来临 99%移动应用后端都存隐患

针对时下流行移动应用软件的调查显示,大多数应用软件内含数据隐码(SQL Injection)漏洞,针对敏感数据也并未以加密格式储存,同时软件后端非常脆弱不安全。

根据移动风险管理商IntegriCell总裁Aaron Turner指出,当前移动应用软件存在许多安全弱点,这是因为每个软件都有后端API,其中尤以免费应用软件为然,同时有愈来愈多的开发人员,采用SQL Light嵌入式数据库引擎来实现许多东西,所以没有人会确认到底安不安全。

安卓黑客

在针对当前各种苹果(iOS)及Android版应用软件的调查中,Turner发现指出,其中35%的比例存在数据隐码安全漏洞,同时99%的应用程序后端数据未加密。

在对后端的进一步分析发现,所有应用软件皆拥有Web服务器及更新修补组态漏洞,该漏洞会导致恶意攻击者控制服务器,同时有79%比例的应用程序存在绕过身分验证的漏洞。

Turner忧心地指出,正因为当前移动应用软件存在许多重大漏洞,一旦被恶意攻击者发现,那么攻击者将有可能从手机上撷取到数据,同时若手机及应用程序一连上网,所有数据都有可能因此外泄。

“我透过扫描工具,对应用程序后端进行简单的扫描,发现其皆采预设Linux版本,同时包括组态设定,乃至所有管理员默认密码皆未变更,”他表示。

“当前成熟移动应用开发人员的缺乏会是一大问题,看看当前的产业生态系统,一旦后端遭骇,恶意攻击者便可透过JSON控制前端。如今并没有可保护用户并进行应用程序监控的安全防护机制,而尽是一些毫无安全性却又复杂的后端。”

Turner在上周美国旧金山召开的RSA安全大会中,以”移动应用软件-安全漏洞海啸来临”为题展示其研究成果,同时建议部署个人信息管理(Personal Information Management, PIM)容器,尽管该方案仍不理想,但”它是我们目前认为最好的解决方案”。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量