1 из 50 приложений для iOS приводит к утечке данных
1 из 50 приложений для iOS, используемых в корпоративных средах, может потенциально привести к утечке конфиденциальных данных. Такая информация содержится в отчете об уязвимостях в iOS-приложениях, опубликованном экспертами по безопасности из компании Zimperium.
Количество уязвимостей в операционных системах iOS и Android за последние несколько лет резко возросло. Если в 2014 году было зарегистрировано менее 200 CVE, то к 2016 году их число возросло до 600, а к сентябрю 2017 года зарегистрировано больше CVE, чем за весь минувший год.
По словам исследователей, дело не в том, что операционные системы стали менее безопасными. Скорее, как злоумышленники, так и исследователи стали уделять больше внимания Android и iOS из-за их растущей популярности в корпоративной среде. Неисправленные уязвимости представляют такую же угрозу для мобильных устройств, как и для домашних компьютеров.
Как выяснилось в ходе исследования, 94% Android-устройств и 23% мобильных устройств Apple используют устаревшую версию ОС. Несмотря на более простой механизм обновления для iOS, выяснилось, что через 45 дней после выхода обновления по меньшей мере 1 из 5 устройств Apple не было обновлено.
Одними из самых опасных рисков, связанных с iOS-устройствами, стали вредоносные профили конфигурации и приложения, допускающие утечку данных. Они могут позволить злоумышленнику получить удаленный контроль над устройством и похитить данные без ведома пользователя.
Наибольшую опасность из сетевых угроз представляют атаки «человек посередине» (MITM). Как показала телеметрия Zimperium, лишь 5% всех мобильных устройств засекли присутствие злоумышленника и 80% из них впоследствии подверглись MITM-атаке. Это самый опасный тип сетевой атаки, поскольку он обычно невидим для пользователя. Если на устройстве пользователя не установлено защитное решение, которое может обнаружить атаку в режиме реального времени, его трафик может быть перехвачен, а данные скомпрометированы.
Хотя исследователи обнаружили вредоносное ПО лишь на 1% устройств Apple, выяснилось, что на 1 из 5 устройств были установлены приложения, способные извлекать конфиденциальную информацию, такую как пароли и уникальный идентификатор устройства (Unique Device Identifier, UDID). Примерно 3% приложений использовали слабые алгоритмы шифрования или хэширования.
Исследователи выделили семь основных угроз для iOS-приложений: вредоносное ПО, совместное использование связки ключей iCloud, использование алгоритма MD2, уязвимости во фреймворках, раскрытие персональных данных и UDID, а также возможность получать доступ к конфиденциальной информации во время зарядки устройства в общественных местах. Как отмечается, в 2,2% анализируемых приложений была обнаружена хотя бы одна из вышеуказанных проблем.