Konferencje

Czy aplikacje mobilne są bezpieczne? I tak. I nie!

Aplikacje. Bardzo lukratywny biznes, także w Polsce. Pieniądze może nie leją się strumieniami. Miej jednak pewność, że ich nie brakuje. Zastanawiasz się czy nasze mobilki są bezpieczne? Względnie tak, jednak dziury w API, wycieki danych i błędy w testach często zmrażają użytkowników. Zwłaszcza, że jak na całym świecie, tak i u nas cyberprzestępców nie brakuje. Bezpieczeństwo produktów cyfrowych nie jest stuprocentowe.

Na świecie jest już ponad 8 mld ludzi. A coraz więcej z nas korzysta z aplikacji. W 2027 liczba użytkowników mobilnych ma jeszcze wzrosnąć do 7,5 mld. Póki co, na świecie około 68% ludzi używa smartfonów, co daje nam 5,5 miliarda użytkowników. 

W styczniu 2022 roku w Polsce było 32,86 milionów internautów. DataReportal mówi, że 87% Polaków miało wtedy dostęp do internetu, a Kepios twierdzi, że to o 15 tys. osób więcej niż w 2021. W tym czasie zarejestrowano u nas 54 miliony połączeń komórkowych. Wychodzi na to, że aż 143% ludności Polski korzystało wówczas z mobile. Ta liczba nie powinna nas dziwić. Wielu z nas posiada kilka urządzeń. Jak podało Digital Care, blisko 80% z nas ma smartfony, więc jesteśmy skazani na aplikacje. Generalnie, w 2022 spędzaliśmy w nich już 5h dziennie. Najwięcej siedzimy w społecznościówkach. Często sięgamy po aplikacje do zdjęć i filmów. Trochę rzadziej gramy i używamy wyszukiwarek. Najmniej czasu spędzamy w apkach zakupowych i rozrywkowych. W wyniku recesji spadły też nasze wydatki w aplikacjach.

Coraz więcej danych…

Rośnie ilość danych przesyłanych telefonami. Taniejące technologie i rozwijające się sieci szerokopasmowe (5G i w przyszłości 6G) powodują w obiegu coraz więcej danych. Według “A Speculative Study on 6G”, w ciągu najbliższej dekady technologia 6G wielokrotnie zwiększy ilość przesyłanych informacji. Tak szybki rozwój okupiony jest jednak wzrostem cyberzagrożeń.

…to coraz więcej cyberprzestępców!

W trakcie pandemii wzrosły ataki na pracowników zdalnych. Ransomware do dziś powoduje niepewność nawet wśród największych liderów IT.

W związku z wojną na Ukrainie, nastąpił wzrost aktywności typu disk-wiping niszczących dyski. Wykryto je w 24 krajach, nie tylko w Europie. Wszystko wskazuje na to, że problem ten będzie się rozwijał. Rozwija się także RaaS, który jest sukcesem cyberprzestępców. Coraz więcej ataków ma postać usług w dark webie, co przyczynia się do ekspansji zjawiska CaaS. Zmienia się także charakter cyberprzestępczości. Ataki stają się bardziej zorganizowane i ukierunkowane. Cyberprzestępcy mogą zatrudniać „detektywów” w dark webie, których zadaniem będzie wywiad przed rozpoczęciem ataku. 

Wkrótce machine learning może służyć do precyzowania rekrutacji tzw. słupów. Ręczne kampanie zostaną zastąpione zautomatyzowanymi usługami, w ramach których pieniądze będą przenoszone przez różne giełdy kryptowalutowe, co uczyni ten proces szybszym i trudniejszym do wyśledzenia. Money Laundering-as-a-Service (LaaS) może szybko stać się jednym z głównych zagrożeń w IT. 

Czy w aplikacjach mobilnych są jakieś niebezpieczeństwa?

Choć standardy deweloperskie z roku na rok zapewniają nam coraz większą ochronę, tak wciąż możemy natknąć się na luki w oprogramowaniu. Tak, użytkownicy aplikacji też są narażeni na niebezpieczeństwa. Wina za nie może leżeć po stronie dewelopera. Dotyczy to niezachowania standardów przy wytwarzaniu lub utrzymywaniu aplikacji mobilnej. Brak odpowiedniej ochrony danych może prowadzić też do wycieku informacji. Ponadto, istnieją ataki związane z API jak Injection czy Replay, które infekują zapytania i przejmują kontrolę nad funkcjonalnościami systemu. Co więcej, niektóre aplikacje zbierają dane bez wiedzy użytkowników i mogą je wykorzystywać w nieodpowiednich celach. Często niekoniecznie, ale stwarza to zagrożenie w trakcie ataku. Hakerzy mogą dzięki temu uzyskać dostęp do prywatnych danych użytkowników. 

Jakie zagrożenia czają się na użytkowników aplikacji mobilnych?

Niestety w większości są to kwestie związane z nieodpowiednim użytkowaniem produktu cyfrowego. Użytkownicy mogą pobrać złośliwe oprogramowanie w postaci wirusów czy malware. Oszuści mogą podszywać się pod oficjalne aplikacje i wyłudzać dane. Sprawdź jak zabezpieczyć smartfona w Internecie!

Pracownicy korzystający z aplikacji też są narażeni na zagrożenia.

Pracownicy też mogą paść ofiarą: phishingu, malware, wirusów czy nieodpowiedniego udostępnienia danych. Firmy powinny stosować odpowiednie praktyki bezpieczeństwa i szkolić swoich pracowników z bezpiecznego korzystania z aplikacji. Świadomość polskich pracowników jest jednak wysoka. Aż 89% z nich potrafi wskazać możliwe formy ataków na swoją firmę. Mimo to, wielu z nich uważa zabezpieczenia za przeszkadzające w pracy i często pomija je, szczególnie w pośpiechu. – W najbliższym czasie to właśnie smartfony staną się głównym narzędziem, wykorzystywanym zarówno do kradzieży prywatnych danych, oszustw, jak i bardziej wyrafinowanych ataków, skierowanych przeciwko przedsiębiorstwom. Dlatego musimy edukować zarówno użytkowników indywidualnych, jak i osoby, które mają wpływ na politykę bezpieczeństwa w firmach – mówi Paweł Dobrzański, Dyrektor Bezpieczeństwa w T-Mobile Polska. 

Na jakie błędy narażeni są deweloperzy aplikacji?

Według CheckPoint błędna konfiguracja w 23 androidowych aplikacjach naraziła ponad 100 milionów użytkowników na wyciek danych. ​​Przykładem jest aplikacja Astro Guru, która naraziła 10 milionów użytkowników na wyciek danych takich jak: imię i nazwisko, data urodzenia, płeć, lokalizacja, adres e-mail czy szczegóły płatności. W przypadku aplikacji Through T’Leva ten sam błąd oznaczał wyciek numeru telefonu oraz prywatnych wiadomości między kierowcami i pasażerami. Ponad to, część deweloperów mobilnych nieświadomie umieszcza w kodzie źródłowym klucze prywatne, pozwalające na wysyłanie powiadomień, w których błąd może zostać wykorzystany przez przestępców do wysłania złośliwego powiadomienia ze stroną phishingową. Badacze bezpieczeństwa zwracają uwagę, że niektórzy programiści próbują ukryć „wrażliwe” klucze dostępowe za pomocą base64 czy xora… Tego typu działania budują fałszywe poczucie bezpieczeństwa, ale realnie są proste do obejścia.

Niedopatrzenia są bardzo częste!

Synopsys raportuje bardzo częste luki w aplikacjach. Według badań, co najmniej 80% aplikacji ma luki w bezpieczeństwie. Kategorie związane ze stylem życia, zdrowiem i kondycją są najmniej podatne na zagrożenia. Aplikacje bankowe, płatnicze i budżetowe wymagają najwięcej uprawnień ze średnią powyżej 18 uprawnień, co stawia je w roli częstych ataków.

Luki

Zidentyfikowano 63% aplikacji zawierających komponenty open source z co najmniej jedną znaną luką w zabezpieczeniach. Każda aplikacja zawierała średnio 39 luk. Do prawie wszystkich luk są znane poprawki, ale aż 73% z nich nie zostało naprawionych, mimo dostępnej wiedzy na temat ich istnienia w mediach oraz sposobach ich naprawy. Pokazuje to brak zalecanej ostrożności w biznesie. 

Prawie połowa luk jest uważana za luki wysokiego ryzyka, ponieważ były aktywnie wykorzystywane przez hackerów. Prawie 5% luk wiąże się z exploitem lub PoC i nie mają dostępnej poprawki. Na szczęście najpoważniejszą klasę luk umożliwiających zdalną manipulację kodem (RCE) było tylko 1 proc. 

Wycieki

Częstym problemem jest wyciek informacji. Programiści nieumyślnie ujawniają poufne dane. CyRC wykrył dziesiątki tysięcy przypadków wycieku informacji, w których ujawniono potencjalnie wrażliwe informacje, od kluczy prywatnych i tokenów po adresy e-mail i IP. Dlatego ważne jest, aby twórcy aplikacji zwracali uwagę na bezpieczeństwo komponentów, które wykorzystują w aplikacji. 

Nadmierne uprawnienia

Aby działać prawidłowo, aplikacje często potrzebują dostępu do zasobów w telefonie. Jednak niektóre żądają go więcej niż potrzeba. Nadmierne korzystanie z uprawnień urządzenia jest problematyczne. Aplikacje analizowane przez CyRC potrzebują średnio 18 uprawnień, w tym 4,5 dotyczących naszych prywatnych danych i 3 uprawnień „nieodpowiednich” dla Google. Jedna aplikacja z milionem pobrań potrzebowała 11 uprawnień, a inna z 5 milionami pobrań chciała aż 56 uprawnień. Wszystko spoko, ale Google uważa je za „niebezpieczne”.

Problematyczne systemy operacyjne

Badacze z Uniwersytetu Johns Hopkins podkreślają, że iOS ma silny zestaw kontroli bezpieczeństwa i prywatności, ale ma też krytyczne braki, takie jak ograniczone korzyści z szyfrowania i słabe strony kopii zapasowych i usług w chmurze. W przypadku Androida klucze deszyfrujące pozostają w pamięci po odblokowaniu, co stanowi potencjalne ryzyko przechwytu danych. Kompleksowe szyfrowanie backupów wymaga zgody twórców aplikacji, co oznacza rezygnację z Android Auto-Backup. Co więcej, dostępność danych w usługach Google powoduje, że są przechowywane bez pełnego szyfrowania. Co więcej, Firma Sophos odkryła już złośliwe oprogramowanie, które przeszło restrykcyjne protokoły bezpieczeństwa Apple i znalazło się w sklepie App Store.

Czy aplikacje mobilne są bezpieczne?

Nie ma prostej odpowiedzi na to pytanie. Poziom bezpieczeństwa w aplikacjach mobilnych z roku na rok rośnie, jednak wciąż błędy stanowią normę. Większość z nich można łatwo poprawić, jednak biznes często nie zawraca sobie tym głowy. Wraz z rozwojem cyberbezpieczeństwa, rozwija się też cyberprzestępczość. Nigdzie i nigdy nie jesteśmy stuprocentowo bezpieczni. Zwłaszcza, jeśli nie mamy wiedzy potrzebnej do realnej oceny zagrożenia. Dlatego tak ważne jest podnoszenie świadomości użytkowników o bezpieczeństwie i sposobach radzenia sobie z incydentami w tym zakresie. Edukacja jest kluczem do bezpieczeństwa w sieci! A tutaj sprawdzisz wpadki kilku polskich aplikacji mobilnych.

Udostępnij
Zobacz także