האם האפליקציות שאנחנו מורידים מספיק בטוחות?
מחקר חדש מעלה ממצאים בעייתיים לגבי היישומונים שאנחנו מתקינים על הסמארטפונים והטאבלטים שלנו
ב-2018 הורדנו אפליקציות למכשירינו 205 מיליארד פעמים. לפי נתונים שונים של חברות מחקר, 57% מהזמן הדיגיטלי שלנו נצרך על גבי סמארטפונים וטאבלטים, ולעתים קרובות, חיי היום יום שלנו תלויים באפליקציות שונות – להודעות, לשירותי בנקאות, לתפקודים עסקיים ועוד. כן מראים הסקרים כי שני מיליארד מאתנו משתמשים באפליקציות בנקאיות – כמעט 40% מהאוכלוסייה הבוגרת שעל פני כדור הארץ. למרות כל אלה, הסיכון הטמון בשימוש ביישומונים עדיין גדול, ולפי דו"ח הפגיעויות והאיומים באפליקציות הסלולריות, שפורסם על ידי Positive Technologies, שלוש מארבע אפליקציות – הן במכשירי אנדרואיד והן במכשירי iOS – כוללות חולשות אבטחה.
על פי חוקרי האבטחה של החברה, 38% מהאפליקציות ל-iOS ו-43% מהאפליקציות לאנדרואיד כוללות פגיעויות ב-"סיכון גבוה" – כלומר, כאלה שהאקרים יכולים לנצל בקלות יחסית כדי להשיג מידע רגיש ביותר. הפגיעויות באפליקציות אלה כוללות תהליך תקשורת פנימי – כלי שנעשה בו שימוש כדי לתקשר עם אפליקציות אחרות או עם מערכות הפעלה.
עוד לפי הדו"ח, הבעיה הנפוצה ביותר היא אחסון נתונים לא בטוח, שנמצא ב-76% מהאפליקציות שהורידו המשתמשים אשתקד. הדבר יכול לאפשר להאקרים גישה לססמאות, למידע כספי ואישי ולתכתובות. יצוין כי מדובר בסיכון ממשי, אולם בינוני, כלומר – אלה פגיעויות שלא פשוט לנצל אותן לרעה, כמו במקרים של פגיעויות ב-"סיכון גבוה".
ממצא נוסף וחשוב בדו"ח מציין כי 89% מחולשות האבטחה – ללא קשר לרמת הסיכון שלהן – ניתנות לניצול מרחוק, כלומר ההאקרים לא זקוקים לגישה פיזית למכשיר כדי להתקין בו נוזקות.
סיכונים רבים – בגלל רשלנות
הסיכונים טמונים במרבית המקרים במנגנון האבטחה של האפליקציה, אם כי הם לא נובעים מפגיעות מסוימת בצד של הלקוח או בצד של השרת. במקרים רבים, מציין הדו"ח, הסיכונים נובעים מרשלנות בתהליך כתיבת הקוד של האפליקציה, והם תוצר של ליקויים לכאורה זעירים בחלקים שונים שלה. ואולם, השילוב שלהם עלול להביא לתוצאות רציניות של אובדן כספי למשתמשים ונזק תדמיתי למפתחים.
כדי לשפר את המצב, חוקרי החברה ממליצים למפתחי האפליקציות לבצע "שינויים משמעותיים" בקוד של האפליקציות.
תגובות
(0)