2021 年,当全世界的目光都聚焦在备受瞩目的供应链攻击时,却忽略了另一个岌岌可危的领域——移动应用。回顾 2021 年,移动应用安全事件频发:从 Amazon Ring 和 Slack 等企业到美国海关和边境保护局( CBP ),全球有接近四分之一的企业组织遭受过移动或物联网数据泄露。以下整理出 2021 年度移动应用代表性安全事件,供读者参考了解。
2021 年移动应用安全事件
1. Amazon Ring App 泄露用户数据
2021 年 1 月,亚马逊( Amazon )旗下安全摄像 Ring 的应用 Neighbors 被曝出一个安全漏洞,泄露了该应用用户的准确位置和家庭地址。正常情况下,虽然用户的帖子是公开的,但通常不会显示用户姓名或确切位置。被曝出的这个漏洞从 Ring 服务器获取隐藏数据,包括用户的家庭住址。该漏洞使他人能够检索到该用户的位置数据,而使用 Neighbors 的用户却看不到这些暴露出来的数据。Ring Neighbors 应用在 2020 年就已拥有 1000 万用户,但围绕 Ring IoT 门铃和监控摄像头的安全问题始终未能解决。Ring 因为此次数据泄露事件而面临集体诉讼。
2. Slack 移动应用公开用户凭证
据报道, 2021 年 1 月, Android 移动应用 Slack 的一个安全漏洞记录了设备上的明文用户凭证。受影响的客户被要求重置密码,并擦除应用数据日志。Slack 号称拥有超过 1200 万活跃用户,其影响之广可想而知。
3. SHAREit 文件共享应用易受远程代码执行影响
据外媒报道称, 2021 年 2 月,一款下载量超过 10 亿次的 Android 文件共享应用 SHAREit 中的漏洞已超3个月未修复。SHAREit 应用开发人员忽略了一个可在智能手机上运行恶意代码的漏洞。虽然 SHAREit 最终修复了该漏洞,但在此之前,该代码已被数百万人共享。
4. 13 款 Android 应用泄露数百万用户数据
Check Point Research 报告称,2021 年 4 月, 13 款流行的 Android 应用暴露了多达1亿用户的数据。开发人员未能保护第三方云服务,导致包括电子邮件、聊天信息、密码和照片在内的个人数据泄露。
5. ParkMobile 数据泄露影响 2100 万用户
去年,Krebs On Security在地下黑市发现停车应用(Park Mobile)多达 2100 万名用户的账户信息。随后 ParkMobile 开发人员发现第三方软件泄露了包括客户电子邮件地址、电话号码和车牌号在内的个人数据。ParkMobil 也因此次泄露用户数据而面临集体诉讼。
6. Klarna 支付应用暴露用户余额
2021年5月,Klarna的一款移动银行应用遭遇数据泄露事件,导致广大客户陷入困境。该应用的用户短暂地看到了其他用户的账户信息,而非他们自己的。根据Klarna的披露,人为错误导致了这些信息以一种意外的方式被缓存。巧合的是,该事件就发生在Klarna获得6.39亿美元新投资后不久。
7. COVID Passport 应用暴露用户数据
在黑客利用新冠肺炎疫情实施攻击的另一个例子是,加拿大 COVID 疫苗接种护照移动应用 Portpass 未加密个人数据,并以明文形式存储,泄露了 650,000 名用户的个人数据,导致任何人都可以访问其网站上的个人资料。
8. CBP泄露数千万用户信息
在一项审计中发现, 美国海关与边境保护局( CBP )未能扫描 2016 年至 2019 年间发布的 91% 应用更新以检测漏洞。由于大量应用泄露了个人身份信息,导致 CBP 开发的 6 款移动护照控制应用泄露了多达 1000 万名旅客的个人数据。
9. Apple iMessage 中的零日漏洞影响了9亿台设备
作为 2021 年最大的移动应用数据泄露事件之一, Apple iMessage 中的一个零日漏洞,使 iPhone 、 iPad 、 Watches 和 MacBooks 的 9 亿活跃用户暴露于 NSO Group 间谍软件威胁之下,据悉 NSO 利用该漏洞监视政治活动家。
2022年 移动应用安全展望
通过上述安全事件,我们可以发现移动应用安全威胁主要来自于以下方面:
- 不安全的代码允许攻击者访问或控制设备,例如 iMessage 的数据泄露事件表明,有缺陷的代码可以允许攻击者访问设备上的所有内容;
- 移动应用和服务器间不安全的网络配置允许黑客进行中间人( man-in-the-middle )攻击;
- 设备上的不安全存储允许恶意用户或恶意软件访问敏感数据;
- 泄漏数据的应用(如 Amazon Ring Neighbors 应用数据泄露事件)源自不正确的编码,这也揭示了代码安全测试的重要性;
- 不安全的配置会通过网络泄漏数据,因为移动应用、运营商和服务器之间的通信会产生复杂的攻击面;
- 对敏感数据的不当防护(如 Klarna 数据泄露事件)意味着移动应用会以明文形式暴露密码和信用卡等敏感数据。
我们在 2021 年看到的这些移动应用安全事件,为企业造成了数十亿美元的收入损失、修复成本、品牌声誉受损等。这些惨痛的经验教训告诉我们,大多数移动应用安全事件是由相同的漏洞、不安全的编码实践,以及缺乏足够的安全测试造成的。
2022 年,这类违规行为将持续存在,威胁还将继续,企业安全团队需要在整个软件开发生命周期中加强对应用的测试,更快地发现漏洞,同时监控部署的所有移动应用,以显著降低 2022 年发生重大移动应用安全事件的几率。企业可以通过动态移动应用安全测试、对移动开发人员的更好培训以及更加重视移动应用安全来避免发生这类事件。
参考链接:https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】