Geçen yıl, dünya yüksek profilli tedarik zinciri saldırılarına odaklanırken, başka bir alan kuşatma altına girdi: mobil uygulamalar. 2020’de 200 milyardan fazla indirme ile mobil uygulamalar karmaşık bir saldırı yüzeyi sunuyor. bu şaşırtıcı değil dört şirketten biri Verizon tarafından ankete katılanlar, mobil veya Nesnelerin İnterneti veri ihlaline maruz kaldı.
2021’deki en önemli mobil veri ihlallerine bir bakış, bu yıl neler bekleyebileceğimize dair ipuçları veriyor. Amazon Ring ve Slack gibi kurumsal devlerden ABD Gümrük ve Sınır Korumasına (CBP) kadar, bunlar manşetlere konu olan mobil uygulama ihlalleridir.
Amazon Ring Uygulaması Veri Sızdırıyor
Geçen Ocak, Amazon Ring Neighbours Uygulamasında bir güvenlik açığı sızdırılmış kesin konum ve adresler uygulamaya mesaj gönderen kullanıcıların sayısı. Kullanıcı gönderileri herkese açık olsa da, uygulama normalde kesin konumları açıklamaz. Hata, uygulamanın kullanıcılarına veri göstermedi, ancak kullanıcının enlem, boylam ve ev adresi dahil olmak üzere gizli verileri topladı. Ring IoT kapı zillerini ve güvenlik kameralarını piyasaya sürüldüklerinden bu yana rahatsız eden güvenlik sorunlarına rağmen, Ring Neighbours Uygulaması 10 milyon kullanıcı 2020’de.
Slack Mobil Uygulaması Kullanıcı Kimlik Bilgilerini Ortaya Çıkarıyor
Popüler ekip işbirliği aracı Slack, geçen yıl fikirlerden fazlasını paylaştı. Geçen Ocak ayında bildirildiği gibi, Android mobil uygulamasındaki bir hata, cihazlarda açık metin kullanıcı kimlik bilgilerini günlüğe kaydetti. Etkilenen müşterilerden şifrelerini sıfırlamaları ve uygulama veri günlüklerini silmeleri istendi. Slack daha fazlasına sahiptir 12 milyon günlük kullanıcılar
SHAREit Dosya Paylaşımı Uygulaması Uzaktan Kod Yürütülmesine Karşı Savunmasız
Şubatta, ZDNet bildirildi 1 milyardan fazla indirmeye sahip bir Android dosya paylaşım uygulamasındaki güvenlik açıklarının üç ay boyunca yamalanmadığı açıklandı. SHAREit uygulamasının geliştiricileri, akıllı telefonlarda kötü amaçlı kod çalıştırmak için kullanılabilecek bir hatayı gözden kaçırdı. SHAREit sonunda güvenlik açığını düzeltti, ancak kod milyonlarla paylaşılmadan önce değil.
13 Android Uygulaması Milyonlarca Kullanıcının Verilerini Sızdırdı
Mobil uygulama geliştiricileri iletişimi güvence altına almadığında ne olur? Belki en büyük mobil ihlal raporlarından biri Nisan ayında Check Point Research, 13 popüler Android uygulamasının 100 milyona yakın kullanıcının verilerini ifşa ettiğini bildirdi. Geliştiriciler, e-postalar, sohbet mesajları, şifreler ve fotoğraflar dahil olmak üzere kişisel verileri ifşa ederek üçüncü taraf bulut hizmetlerini güvence altına alamadı.
ParkMobile İhlali 21 Milyon Kullanıcıyı Etkiledi
Bu yıl, KrebsOnSecurity Karanlık bir pazarda satılık bir park uygulamasının 21 milyon kullanıcısının hesap bilgilerini buldu. ParkMobile geliştiricileri daha sonra üçüncü taraf yazılımların müşteri e-posta adresleri, telefon numaraları ve plaka numaraları gibi kişisel verileri sızdırdığını keşfetti. ParkMobile şimdi bir toplu dava
kullanıcı verilerini açığa çıkarmak için.
Klarna Ödeme Uygulaması Kullanıcı Bakiyelerini Açıklıyor
Mayıs ayında, Klarna’nın bir mobil bankacılık uygulaması, yaygın müşteri karışıklığına neden olan bir güvenlik ihlali yaşadı. Uygulamanın kullanıcıları, kendilerinin yerine diğer kullanıcıların hesap bilgilerini kısaca gördü. başına Klarna ifşası, insan hatası, bilgilerin istenmeyen bir şekilde önbelleğe alınmasına neden oldu. Olay, Klarna’nın 639 milyon dolarlık yeni yatırım almasından kısa bir süre sonra meydana geldi.
COVID Passport Uygulaması Kullanıcıları Ortaya Çıkarıyor
Başka bir örnekte Salgından yararlanan hackerlar, Özel bir Kanada COVID aşı pasaportu mobil uygulaması olan Portpass, 650.000 kullanıcının kişisel verilerini ifşa etti. Web sitesindeki profillere herkes erişebilir ve mobil uygulama, kişisel verileri şifrelenmemiş ve düz metin olarak depolamıştır.
Sızdıran Uygulamalar Sızdıran Sınırlar Oluşturur
ABD CBP tarafından oluşturulan altı mobil pasaport kontrol uygulaması 10 milyon yolcunun kişisel verilerini ifşa etti uygulamalar kişisel olarak tanımlanabilir bilgileri sızdırdığında. Bir denetim, CBP’nin güvenlik açıklarını tespit etmek için 2016 ve 2019 arasında yayınlanan uygulama güncellemelerinin %91’ini tarayamadığını keşfetti.
Apple iMessage’da Sıfır Gün 900 Milyon Cihazı Etkiledi
Birinde yılın en büyük mobil ihlalleri, Apple, iMessage’daki tüm özelliklerini açığa çıkaran sıfır günlük bir kusuru düzeltti. 900 milyon aktif kullanıcı iPhone’lar, iPad’ler, Saatler ve MacBook’lardan NSO Group’un casus yazılımlarına. NSO, siyasi aktivistleri gözetlemek için bu güvenlik açığından yararlandı.
Olağan Şüpheliler
Bu yılın en büyük ihlallerinin çoğu, her yıl gördüğümüz aynı güvenlik açıklarından geldi. Çoğu, dinamik mobil uygulama güvenlik testleri, mobil geliştiriciler için daha iyi eğitim ve mobil uygulama güvenliğini daha ciddiye alma isteği ile önlenebilirdi. Arasında olağan Şüpheliler:
- Güvenli olmayan kod bir saldırganın erişmesine veya kontrolüne izin verir. iMessage örneğinde olduğu gibi, hatalı kod, bir saldırganın bir cihazdaki her şeye erişmesine izin verebilir.
- Güvenli olmayan ağ yapılandırmaları Mobil uygulama ile sunucular arasındaki bağlantı, bilgisayar korsanlarının ortadaki adam saldırıları gerçekleştirmesine izin verir.
- Cihazda güvenli olmayan depolama kötü niyetli bir kullanıcının veya kötü amaçlı yazılımın hassas veri depolarını incelemesine izin verir.
- Veri sızdıran uygulamalar, Amazon Ring Neighbors App ihlalinde olduğu gibi, yanlış kodlamadan kaynaklanır ve bu da daha iyi test yapılmasını sağlar.
- Güvenli olmayan yapılandırmalar ağ üzerinden veri sızdırıyor çünkü mobil uygulamalar, taşıyıcılar ve sunucular arasındaki iletişim karmaşık bir saldırı yüzeyi oluşturur.
- Hassas verilerin güvenli olmayan şekilde korunması, Klarna ihlalinde olduğu gibi, mobil uygulamaların şifreler ve kredi kartı bilgileri gibi hassas verileri düz metin olarak açıkta bıraktığı anlamına gelir.
Bu Yıl Sırada Ne Var?
2021’de gördüğümüz gibi mobil ihlaller işletmelere milyarlarca dolar gelir kaybına, iyileştirme maliyetlerine, marka itibarının zarar görmesine ve daha fazlasına mal oldu. Ne yazık ki bu tür ihlaller 2022 yılı boyunca devam edecek.
Bu acıların çoğu, kendi güvenli olmayan kodlama uygulamalarımız ve yeterli test eksikliğimiz nedeniyle kendiliğinden oluşacaktır. Güvenlik ekipleri, üretimdeki tüm mobil uygulamaları izlerken, yazılım geliştirme yaşam döngüsü boyunca uygulamaları test ederek ve kusurları daha erken yakalayarak, önümüzdeki yıl büyük bir mobil uygulama ihlali olasılığını önemli ölçüde azaltabilir.