黑帽2012:非恶意移动应用安全可能给企业数据带来更大损失
来源:岁月联盟
时间:2012-08-08
总部位于旧金山的Appthority公司的联合创始人兼总裁Domingo Guerra说道,这是因为移动应用很容易下载并可以利用各种数据源,可能会泄露敏感信息。
Guerra参加2012年黑帽大会时表示,通常企业首席信息安全官在设置移动策略时没有考虑到合法的移动商务应用所带来的风险。Guerra的公司因其平台赢得最具创新的供应商奖项而在2012年RSA大会上获得关注,该平台旨在对移动应用进行静态和动态分析。它还基于信誉和应用收集、分发数据的风险为应用评分。
“开发商想要赚钱,消费者想要免费软件,而广告网络将支付开发者费用以获取更有价值的数据,”Guerra对SearchSecurity.com这样说道。“合法的应用从用户那里获取信息,这些信息通常都与企业信息有关。”
Guerra说,应用利用企业日历、地址簿和关键管理人员的位置跟踪。如果将信息共享给错误的人,可能使得一些企业在竞争中处于劣势。其他移动应用不通过加密就发送数据,错误地存储用户名和密码,然后通过广告网络向分析公司共享数据。
另一个被日益关注的移动应用安全领域,是移动应用开发人员的特殊性,Guerra补充道,这一问题使得了解应用来源的可靠性和声誉越来越难。本周公布的一项由Appthority进行的分析显示,苹果iTunes App Store排名前50位的免费应用中,92%的是由独立开发人员编写的。“如今,软件的来源没有限制,”Guerra说道,“它们是不可信的,未被审查的。任何一个拥有电脑的人都可以开发一个应用。”
分析还发现,苹果iOS应用访问数据源的程度超过了谷歌Android设备的应用。大多数的iOS应用(88%)可以访问广告网络和分析数据、设备位置(70%),以及用户的联系人列表(52%)。
在iOS应用中,22%的可以访问以上所有四种信息。有趣的是,根据Appthority,在Android排名前50的应用中,没有利用以上四种信息的应用,这一点是非常值得注意的。因为安全专家普遍认为,比起iOS,Android平台带来的安全风险更大。
移动恶意软件、Trojanized应用是未来关注焦点
专家普遍认为,与移动恶意软件相比,数据隐私将是一个更大的担忧。现在,网络犯罪分子都将触角伸向个人电脑,因为这是最容易赚钱的,Sourcefire公司的云技术部门的首席设计师Adam O'Donnell这样说道。
“网络犯罪分子将转到任何他们可以立足并赚钱的地方,他们可以随时随地去赚钱,现在它针对的仍是个人电脑。”O'Donnell说,网络犯罪分子已经变得非常具有商业头脑,通过恶意活动来寻求最低的进入成本和最高的回报。自动化工具包和利润分享计划两项主要的措施使得网络攻击不断在桌面出现。
如果一个攻击者想出了一个可以高效发布恶意软件去破坏移动设备的方法,那么你会看到恶意软件转移到手机端,如果每个人都不再使用电脑,而使用移动设备,那么犯罪分子要么攻击移动设备,要么攻击他们沟通的服务器。”
Appthority的Guerra表示,恶意软件在未来将成为日益严重的威胁。但随着威胁的出现,研究人员也将更好的了解企业移动风险。当谈到保护移动设备和审核批准应用时,企业IT安全团队正在慢慢成为“守门人”。大多数企业需要自问,‘我们可以接受多大的风险?’现在,应用正在做业务线(lineofbusiness)功能,IT会开始要求开发者实现更好的安全性和隐私。”
