מחקר: מרבית היישומים הניידים נכשלו במבחן אבטחה

עד כמה בטוח המידע המאוחסן בטלפונים החכמים שלנו? מסתבר שלא ממש. נתונים חדשים שפורסמו מעלים, כי 76% מהיישומים הפופולריים לאנדרואיד (Android) ול-iOS מאחסנים את שמות המשתמש כטקסט פשוט, ו-10% – בהם Hushmail, לינקדאין (LinkedIn) וסקייפ (Skype) – מאחסנים בצורה זו גם את הסיסמאות.

הממצאים הללו עולים מדו"ח שפרסמה חברת האבטחה viaForensics. חוקרי החברה בחנו 100 יישומים שנכתבו למערכות ההפעלה אנדרואיד של גוגל (Google) ו-iOS של אפל (Apple), הפועלים על מכשירי iPhone, iPad ו-iPod Touch. גיליון תוצאות הבדיקה מראה, כי רבים מן היישומים מאחסנים נתונים, כמו שמות משתמש, כטקסט פשוט בזיכרון המכשיר.

"מערכות רבות דורשות רק שם משתמש וסיסמה, כך שהימצאות שם המשתמש במכשיר מספקת 50% מהאפשרויות לפריצה", כתבו החוקרים בדו"ח. "מה גם שאנשים רבים נוטים לחזור על שם המשתמש שלהם בשירותים מקוונים רבים".

ממצא גרוע יותר שהדו"ח מצביע עליו הוא שיישומים אפילו לא מצפינים מידע רגיש כמו סיסמאות. "נתונים רגישים המאוחסנים במכשירים ניידים מציבים סיכונים, משום שלעתים קרובות המכשירים נגנבים, אובדים או מועברים לאנשים אחרים, וגם משום שנוזקות רבות מסוגלות לשאוב את הנתונים האלה", כתבו חוקרי viaForensics. לדבריהם, "כמה מן הסיכונים, כמו סיסמאות מאוחסנות או מספרי כרטיסי אשראי, חמורים יותר מהאחרים".

התוצאות הגרועות ביותר "הושגו" בתחום האבטחה ביישומים ניידים הנוגעים לרשתות חברתיות: 74% נכשלו, מה שמצביע על כך שמידע רגיש, כמו סיסמאות ומספרי חשבון בנק, נחשף. לפי הדו"ח, "החשיפה של הנתונים הרגישים מציבה את המשתמש בסיכון משמעותי לגניבת זהות או גניבה כספית".

בקטגוריות אחרות הראו המבחנים תוצאות פחות קשות. למשל, ביישומי פרודוקטיביות נכשלו במבחנים 43%, ביישומים פיננסיים נכשלו 25% וביישומי קמעונות – 14%. עם זאת, על אף ששיעור יישומי הקמעונות שנכשלו נראה נמוך, למעשה אף יישום קמעוני לא עבר את המבחן. רוב היישומים הללו "זכו" לציון "אזהרה" – המצביע על כך שנתוני היישום נמצאו על המכשיר ולא הוצפנו.

Hushmail, לינקדאין, סקייפ ו-WordPress נמצאו בין היישומים הגרועים ביותר מבחינת האבטחה לשתי מערכות ההפעלה – אנדרואיד ו-iOS. היישומים הגרועים ביותר הם שירותי הדואר ג'י-מייל (Gmail) מבית גוגל שירות הדואר של יאהו! (!Yahoo), ואנדרואיד מייל (Android Mail) לאקסצ'יינג' (Exchange) ולהוטמייל (Hotmail), כמו גם נטפליקס (Netflix). היישומים הגרועים ביותר ל-iOS הם Chase (בנקאות), ו-iPhone Mail – לאקסצ'יינג' ולג'י-מייל.

למעשה, מרבית היישומים שנכתבים מסתמכים חלקית על שכבות האבטחה של מערכות ההפעלה. או אז מתעוררת השאלה איזו מערכת הפעלה בטוחה יותר, אנדרואיד או iOS? באופן כללי, הטיפול בנתונים מצד מפתחי היישומים נראה טוב יותר ביישומים ל-iOS של אפל, על פי viaForensics. "תהיה זו הכללה הוגנת לומר שעד כה, אפל עשתה יותר מאמצים בכיוון אבטחת הנתונים בפלטפורמת iOS שלה בהשוואה לאנדרואיד. מכל מקום, משתמשים עדיין ניצבים בפני סיכונים בדמות נוזקות שיכולות לשאוב מידע ממכשירים בינוניים או ממכשירים גנובים או אבודים", נכתב בדו"ח.