iOS, Недостаток безопасности Приложения Мобильного платежа Android, Исследование Находит

безопасность

Незадолго до Черной пятницы и Киберпонедельника, отчет выходит, утверждая, что лучшие 10 приложений мобильного платежа все пропускают критические средства обеспечения безопасности.Поскольку американцы подготавливаются к золотому дну расходов, которое является Черной пятницей и Киберпонедельником, многие решат использовать приложения мобильного платежа.

Однако согласно безопасности Bluebox, многие из тех потребителей могли бы хотеть думать дважды о выполнении так, поскольку безопасность по крайней мере в 10 распространенных приложениях через iOS Apple и Google Android не, каково это должно быть.Безопасность Приложения Платежа 2015 года Исследование, созданное безопасностью Bluebox, нашла, что ни одно из исследованных приложений платежа не шифрует данные, хранившие на устройствах пользователей. Кроме того, Bluebox нашел, что все приложения, которые он исследовал, находятся в опасности от вмешательства, которое могло потенциально позволить атакующему перенаправить фонды.

Блуебокс Лэбс выбрал и протестировал пять приложений на Android и те же пять на iOS, по словам Эндрю Блэйча, ведущего аналитика по вопросам безопасности Блуебокса. Блуебокс выбрал приложения, основанные на поисках главных приложений мобильного платежа и рейтинга от склада приложения. Все приложения были выполнены на комбинации взломанных и невзломанных телефонов, чтобы полностью понять, насколько безопасный приложения. В то время как Блуебокс сообщает, что существуют дефекты в приложениях мобильного платежа, это не раскрывает названия самих приложений.

«Цель этого исследования состоит в том, чтобы обнаружить настоящее проблем в связанных с платежом мобильных приложениях, таким образом, команды корпоративной безопасности могут переоценить меры защиты, они имеют в распоряжении и повторно добиваются любых дефектов, которые могут оставить их пользователей уязвимыми», сказал Блэйч eWEEK. «Мы решили не выпустить собственные имена приложений мобильного платежа для защиты пользователей этих приложений от того, чтобы быть использованным и избегать отвлекать от большего сообщения до разработчиков и команд корпоративной безопасности вокруг потребности в более строгой безопасности приложений».В то время как вредоносное программное обеспечение Android имеет тенденцию доминировать над мобильными заголовками безопасности, когда дело доходит до приложений мобильного платежа, безопасность Android и iOS примерно эквивалентна, согласно анализу Bluebox.«Приложения для iOS и приложения для Android были оба наравне с суммой – или отсутствие безопасности, они содержали», сказал Блэйч. «Никакая платформа не была более безопасной, чем другой».Безопасность Bluebox является поставщиком мобильных технологий безопасности, предназначенных для помощи предприятиям безопасные мобильные приложения.

Блэйч отметил, что как часть расследования приложений мобильного платежа, исследователи Bluebox использовали комбинацию инструментов, включая smali/baksmali, IDA и mitmproxy, а также некоторые инструменты пользователя, которые Bluebox разработал для внутреннего использования.Одной определенной областью мобильного фокуса безопасности в последние годы было использование Уровня защищенных сокетов / безопасность Транспортного уровня (SSL/TLS) для надлежащего шифрования передачи данных.

В 2014 поставщик систем обеспечения безопасности FireEye нашел, что 68 процентов загруженных бесплатно приложений вершины от склада Google Play имели некоторую форму риска SSL/TLS-related. Исследование Bluebox в частности не сфокусировалось на риске SSL/TLS в приложениях мобильного платежа, хотя это действительно обеспечивает некоторую видимость в использование самоподписанных сертификатов SSL/TLS.

Самоподписанные сертификаты представляют потенциальный риск, поскольку они не проверены сторонним центром сертификации (CA).«Поскольку объем исследования сфокусировался на безопасности уровня приложения и каналах, которые это создает к бэкэнду, мы не изучали установки серверной стороны в частности», сказал Блэйч. «Однако ни одно из приложений платежа, которые мы исследовали, не использовало самоподписанный сертификат сервера, но мы встретились с мобильными приложениями, которые действительно используют самоподписанный сертификат и включают сертификат с их приложением для проверки сервера».Относительно того, почему безопасности недостает приложений мобильного платежа, Блэйч сказал, что безопасность всегда была запоздалой мыслью в процессе разработки для большинства разработчиков и компаний.«Фокус в основном в мобильной отрасли должен иметь визуально привлекательное приложение, которое может сделать то, что это должно сделать, и если проблема безопасности подойдет, то они изобразят способ фиксировать его позже», сказал он. «Однако безопасность должна быть интегрирована рано в процессе разработки с моделированием угроз, происходящим на каждом шаге способа определить то, что и не является фактором риска, чтобы гарантировать, что безопасность создается должным образом».

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.

VIRTU-VIRUS.RU