Yakın tarihli kapsamlı bir güvenlik denetimi, kurumsal ortamlarda kullanılan ilk 100 mobil uygulamanın% 43’ünün kötü niyetli aktörlerin hassas kurumsal verilere erişmesine izin verebilecek kritik güvenlik açıkları içerdiğini ortaya koymuştur.
Bu güvenlik açıkları öncelikle uygulamaların veri depolama mekanizmalarında, kimlik doğrulama protokollerinde ve ağ iletişimi uygulamalarında mevcuttur ve dünya çapında kuruluşlar için önemli güvenlik riskleri oluşturur.
Etkilenen uygulamalar, verimlilik araçları, iletişim platformları ve tescilli ve gizli kurumsal bilgileri ele almak için rutin olarak kullanılan belge yönetim sistemleri dahil olmak üzere birçok kategoriyi kapsar.
.png
)
Güvenlik uzmanları, bu güvenlik açıklarının kullanılmasının, hem kurumsal hem de müşteri bilgilerini tehlikeye atarak yetkisiz veri erişimi, kimlik bilgisi hırsızlığı ve potansiyel veri açığa çıkmasına yol açabileceği konusunda uyarıyor.
En önemlisi, bu uygulamaların birçoğunun kimlik doğrulama jetonlarını ve kimlik bilgilerini düz metin içinde veya zayıf şifreleme yöntemlerini kullandığı ve bunları minimum cihaz erişimi bile elde eden saldırganlar için kolayca erişilebilir hale getirdiği keşfidir.
Birkaç durumda, uygulamaların güvensiz kanallara hassas verileri ilettiği ve bilgiyi müdahaleye karşı savunmasız bıraktığı bulunmuştur.
Zimperium araştırmacıları, en yaygın güvenlik açığının güvenli depolama uygulamalarının yanlış uygulanmasını içerdiğini ve birçok uygulamanın hassas verileri paylaşılan tercihlerde veya yerel depolama alanında yeterli koruma olmadan sakladığını tespit etti.
Zimperium’un güvenlik araştırmacısı Dr. Elena Markova, “Özellikle endişe verici olan, bunların belirsiz uygulamalar değil, günlük kritik iş verilerini yöneten çok geniş çapta devredilen çözümler” dedi.
Teknik analiz, birçok uygulamanın kusurlu şifreleme uygulamaları uyguladığını ortaya koydu:–
// Insecure storage of encryption key
private static final String ENCRYPTION_KEY = "1234567890abcdef";
// Vulnerable method storing sensitive data
private void storeCredentials(String username, String password) {
SharedPreferences prefs = getSharedPreferences("app_prefs", MODE_PRIVATE);
SharedPreferences.Editor editor = prefs.edit();
editor.putString("username", username);
editor.putString("password", password); // Storing password in plaintext
editor. Apply();
}Yetersiz sertifika doğrulaması
Ağ güvenlik uygulamalarının daha derin bir incelemesi, savunmasız uygulamaların% 28’inin SSL sertifikalarını doğru bir şekilde doğrulayamadığını ve potansiyel potansiyel ortada saldırıları sağladığını ortaya koydu.
.webp){kind=spacer}
Bu uygulamalar genellikle sertifika doğrulamasını tamamen atlayan aşağıdakilere benzer kod içeriyordu:-
TrustManager[] trustAllCerts = new TrustManager[] {
new X509TrustManager() {
public X509Certificate[] getAcceptedIssuers() { return null; }
public void checkClientTrusted(X509Certificate[] certs, String authType) {}
public void checkServerTrusted(X509Certificate[] certs, String authType) {}
}
};Bulgular, kuruluşların popülariteleri veya piyasa duruşlarına bakılmaksızın, çevrelerinde kullanılan tüm uygulamaların kapsamlı güvenlik değerlendirmelerini uygulamaları için kritik ihtiyacı göstermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy