Vulnerabilitate tip Heartbleed, descoperita de cercetatori
O vulnerabilitate similară Heartbleed a fost descoperită de cercetători, aceasta punând în pericol miliarde de date personale ale utilizatorilor de smartphones.
Cercetătorii din cadrul Fraunhofer Institute for Secure Information Technology și ai Darmstadt University of Technology au făcut declarații cu privire la vulnerabilitate după ce au descoperit 56 milioane de elemente de date neprotejate în aplicațiile analizate. Printre acestea se numără jocuri, rețele sociale, aplicații de mesagerie, medicale și bancare, scrie smartnews.
Cercetătorii germani nu au indicat numele aplicațiilor în discuție, însă au declarat că printre acestea se numără unele dintre cele mai populare aplicații din magazinele Apple și Google.
Defecțiunea expune parolele, adresele, codurile de acces și datele de localizare, însă cercetătorii nu au găsit dovezi ale exploatării vulnerabilității.
“În aproape fiecare categorie am găsit o aplicație care are această vulnerabilitate“, a declarat Siegfried Rasthofer, din echipa de cercetare, avertizând că numărul de intregistrari în pericol este posibil să fie de ordinul miliardelor.
Eric Bodden, șef al echipei de cercetare, a asemănat vulnerabilitatea cu Heartbleed, în timp ce alți cercetători în domeniul securității au declarat că această ar putea fi mai rea, deoarece este ușor de exploatat și utilizatorii de aplicații nu pot face multe în această privință.
“Efortul necesar pentru compromiterea datelor prin exploatarea aplicațiilor este mult mai mic decât cel necesar pentru a exploata Heartbleed“, a declarat Toshendra Sharma, fondator al companiei de securitate mobilă Wegilant din Mumbai.
Bodden pune vulnerabilitatea pe seama modului în care dezvoltatorii autentifică utilizatorii atunci când stochează datele acestora în bazele de date online. Majoritatea aleg opțiunea de autentificare implicită prin token, bazată pe un șir de litere și cifre încorporate în codul software-ului.
Winston Bond, manager tehnic al Arxan Technologies în Europa, a declarat: “Știm că dezvoltatorii sunt tot mai presați să ofere rapid aplicații noi sau actualizate, bogate în funcții, însă aceasta înseamnă că securitatea este împinsă la o parte. De cele mai multe ori, dezvoltatorii se bazează pe setările implicite disponibile, presupunând că acestea sunt suficiente sau copiază direct de pe o mostră de aplicație existentă care nu abordează vulnerabilitățile unice asociate cu aplicațiile mobile și cu datele pe care le gestionează”-.
“Pentru a opri apariția acestor tipuri de vulnerabilități și defecțiuni, trebuie inserate protecții mai robuste direct în aplicație, la nivel binar. Fără acest nivel de protecție, aplicațiile sunt expuse riscului, deoarece este ușor pentru un hacker să inverseze codul binar înapoi la codul sursă”.
Apple a răspuns cercetătorilor că va încorpora în curând avertismente pentru dezvoltatori, pentru a dublă verificarea setărilor de securitate înainte de a încărca aplicațiile în App Store.
Google a refuzat să facă comentarii.
