대다수의 모바일 앱에는 심각한 보안 결함이 있습니다

앱은 종종 필요하지 않은 데이터에 액세스하거나 자신의 작업과 관련이없는 하드웨어 및 서비스를 사용할 수있는 권한을 갖습니다. 최근의 연구에 따르면 문제는 생각보다 훨씬 광범위합니다.

지난 달에 발표 된 연구에 따르면 HP 연구원들은 10 월과 11 월 사이에 2, 000 개가 넘는 iOS 앱을 조사한 결과 10 개 중 9 개 앱이 심각한 취약점을 발견했습니다. 문제는 너무 많은 권한, 암호화되지 않은 데이터 및 안전하지 않은 데이터 전송에서 발생했습니다. 게임은 주소록에 액세스 할 필요가 없으며 날씨 앱이 이메일을 보낼 수있는 권한을 가질 이유가 없습니다. 앱이 액세스 할 수있는 데이터를 보호하지 않거나 핵심 운영 체제 구성 요소를 사용하는 방식을 올바르게 보호하지 않으면 장치가 공격에 취약 해집니다.

HP Fortify의 엔터프라이즈 보안 제품 그룹 부사장 인 Mike Armistead는 "모바일 장치는 민감한 데이터에 대한 액세스를 제공하는 취약한 응용 프로그램을 통해 공격의 주요 대상"이라고 말했습니다.

이 연구에서 연구원들은 HP Fortify on Demand 자동 바이너리 및 동적 분석 엔진을 사용하여 생산성 및 소셜 네트워킹을 포함하여 22 개의 서로 다른 범주에서 선택된 2, 107 개의 응용 프로그램을 테스트했습니다. 이 연구는 맞춤형 엔터프라이즈 응용 프로그램에 중점을 두었지만 Apple App Store 또는 Google Play에서 찾을 수있는 앱에 유사한 보안 및 개인 정보 보호 문제가 있다고 가정하는 것은 무리가 아닙니다.

데이터를 보호하지 않음

테스트 된 앱의 거의 97 %가 개인 주소록 및 소셜 미디어 페이지와 같은 하나 이상의 "개인 정보 소스"에 액세스했거나 Bluetooth 또는 Wi-Fi 연결을 이용했습니다. 걱정스러운 것은이 애플리케이션의 86 %가 개인 데이터를 보호 할 수있는 적절한 보안 수단을 갖추고 있지 않다는 점이다.

연구에 따르면 애플리케이션의 약 75 %가 데이터를 모바일 장치에 저장할 때 암호화를 잘못 사용했습니다. 보호되지 않은 데이터에는 암호, 개인 정보, 세션 토큰, 문서, 채팅 로그 및 사진이 포함되었습니다.

이 연구에서 테스트 한 애플리케이션 중 18 %만이 HTTP를 통해 사용자 이름과 비밀번호를 보냈고 나머지 앱은 SSL / HTTPS를 사용했다는 것이 안심이었습니다. 그러나 보안 전송 모드를 사용하는 사람들 중 거의 20 %가 SSL / HTTPS 구현이 잘못되었습니다. 이는 데이터가 여전히 악의적 인 공격자에 의해 스니핑 될 수 있음을 의미합니다.

개발자는 강화해야합니다

일반적으로 모바일 운영 체제 (Android 및 iOS 모두)는 앱이 요청하는 권한을 명시 적으로 설명하는 데 도움이됩니다. 어떤 유형의 데이터 앱에 액세스 할 수 있는지에 대한보다 엄격한 지침도 있습니다. 그러나 권한 목록을보고, 의미를 이해하고, 요청이 합리적이지 않다는 결정을 내리는 것은 여전히 ​​사용자 부담입니다.

더 나은 시나리오는 개발자가 처음부터 앱에 보안 및 개인 정보를 구축 한 경우입니다. 그들은 앱이 다른 앱 및 운영 체제와 상호 작용하는 방식에 대해 생각해야합니다. 앱에서 데이터에 안전하게 액세스 할 수있는 방법을 고려해야합니다.

HP는 "기업은"빠른 시장으로 ", "안전하고 빠른 시장으로 "전환해야합니다.