回顧:2021年度代表性移動應用安全事件
責編:gltian |2022-01-14 14:50:33
2021 年,當全世界的目光都聚焦在備受矚目的供應鏈攻擊時,卻忽略了另一個岌岌可危的領域——移動應用。回顧 2021 年,移動應用安全事件頻發:從 Amazon Ring 和 Slack 等企業到美國海關和邊境保護局( CBP ),全球有接近四分之一的企業組織遭受過移動或物聯網數據泄露。以下整理出 2021 年度移動應用代表性安全事件,供讀者參考了解。
2021 年移動應用安全事件
1. ?Amazon Ring App 泄露用戶數據
2021 年 1 月,亞馬遜( Amazon )旗下安全攝像 Ring 的應用 Neighbors 被曝出一個安全漏洞,泄露了該應用用戶的準確位置和家庭地址。正常情況下,雖然用戶的帖子是公開的,但通常不會顯示用戶姓名或確切位置。被曝出的這個漏洞從 Ring 服務器獲取隱藏數據,包括用戶的家庭住址。該漏洞使他人能夠檢索到該用戶的位置數據,而使用 Neighbors 的用戶卻看不到這些暴露出來的數據。Ring Neighbors 應用在 2020 年就已擁有 1000 萬用戶,但圍繞 Ring IoT 門鈴和監控攝像頭的安全問題始終未能解決。Ring 因為此次數據泄露事件而面臨集體訴訟。
2. ?Slack 移動應用公開用戶憑證
據報道, 2021 年 1 月, Android 移動應用 Slack 的一個安全漏洞記錄了設備上的明文用戶憑證。受影響的客戶被要求重置密碼,并擦除應用數據日志。Slack 號稱擁有超過 1200 萬活躍用戶,其影響之廣可想而知。
3. ?SHAREit 文件共享應用易受遠程代碼執行影響
據外媒報道稱, 2021 年 2 月,一款下載量超過 10 億次的 Android 文件共享應用 SHAREit 中的漏洞已超3個月未修復。SHAREit 應用開發人員忽略了一個可在智能手機上運行惡意代碼的漏洞。雖然 SHAREit 最終修復了該漏洞,但在此之前,該代碼已被數百萬人共享。
4. ?13 款 Android 應用泄露數百萬用戶數據
Check Point Research 報告稱,2021 年 4 月, 13 款流行的 Android 應用暴露了多達1億用戶的數據。開發人員未能保護第三方云服務,導致包括電子郵件、聊天信息、密碼和照片在內的個人數據泄露。
5. ?ParkMobile 數據泄露影響 2100 萬用戶
去年,Krebs On Security在地下黑市發現停車應用(Park Mobile)多達 2100 萬名用戶的賬戶信息。隨后 ParkMobile 開發人員發現第三方軟件泄露了包括客戶電子郵件地址、電話號碼和車牌號在內的個人數據。ParkMobil 也因此次泄露用戶數據而面臨集體訴訟。
6. ?Klarna 支付應用暴露用戶余額
2021年5月,Klarna的一款移動銀行應用遭遇數據泄露事件,導致廣大客戶陷入困境。該應用的用戶短暫地看到了其他用戶的賬戶信息,而非他們自己的。根據Klarna的披露,人為錯誤導致了這些信息以一種意外的方式被緩存。巧合的是,該事件就發生在Klarna獲得6.39億美元新投資后不久。
7. ?COVID Passport 應用暴露用戶數據
在黑客利用新冠肺炎疫情實施攻擊的另一個例子是,加拿大 COVID 疫苗接種護照移動應用 Portpass 未加密個人數據,并以明文形式存儲,泄露了 650,000 名用戶的個人數據,導致任何人都可以訪問其網站上的個人資料。
8. CBP泄露數千萬用戶信息
在一項審計中發現, 美國海關與邊境保護局( CBP )未能掃描 2016 年至 2019 年間發布的 91% 應用更新以檢測漏洞。由于大量應用泄露了個人身份信息,導致 CBP 開發的 6 款移動護照控制應用泄露了多達 1000 萬名旅客的個人數據。
9. ?Apple iMessage 中的零日漏洞影響了9億臺設備
作為 2021 年最大的移動應用數據泄露事件之一, Apple iMessage 中的一個零日漏洞,使 iPhone 、 iPad 、 Watches 和 MacBooks 的 9 億活躍用戶暴露于 NSO Group 間諜軟件威脅之下,據悉 NSO 利用該漏洞監視政治活動家。
2022年 移動應用安全展望
通過上述安全事件,我們可以發現移動應用安全威脅主要來自于以下方面:
? 不安全的代碼允許攻擊者訪問或控制設備,例如 iMessage 的數據泄露事件表明,有缺陷的代碼可以允許攻擊者訪問設備上的所有內容;
? 移動應用和服務器間不安全的網絡配置允許黑客進行中間人( man-in-the-middle )攻擊;
? 設備上的不安全存儲允許惡意用戶或惡意軟件訪問敏感數據;
??泄漏數據的應用(如 Amazon Ring Neighbors 應用數據泄露事件)源自不正確的編碼,這也揭示了代碼安全測試的重要性;
? 不安全的配置會通過網絡泄漏數據,因為移動應用、運營商和服務器之間的通信會產生復雜的攻擊面;
? 對敏感數據的不當防護(如 Klarna 數據泄露事件)意味著移動應用會以明文形式暴露密碼和信用卡等敏感數據。
我們在 2021 年看到的這些移動應用安全事件,為企業造成了數十億美元的收入損失、修復成本、品牌聲譽受損等。這些慘痛的經驗教訓告訴我們,大多數移動應用安全事件是由相同的漏洞、不安全的編碼實踐,以及缺乏足夠的安全測試造成的。
2022 年,這類違規行為將持續存在,威脅還將繼續,企業安全團隊需要在整個軟件開發生命周期中加強對應用的測試,更快地發現漏洞,同時監控部署的所有移動應用,以顯著降低 2022 年發生重大移動應用安全事件的幾率。企業可以通過動態移動應用安全測試、對移動開發人員的更好培訓以及更加重視移動應用安全來避免發生這類事件。
參考鏈接:
https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches