2021 年,当全世界的目光都聚焦在举世瞩目的供应链攻击时,却忽视了另一个摇摇欲坠的领域——移动智能终端。回望 2021 年,移动智能终端安全事故高发:从 Amazon Ring 和 Slack 等公司到海关和边境线保护局( CBP ),全世界有贴近四分之一的企业的管理遭到过挪动或物联网技术数据泄漏。下列梳理出 2021 本年度移动智能终端象征性安全事故,供阅读者参照掌握。
2021 年移动智能终端安全事故
1. Amazon Ring App 泄漏客户数据信息
2021 年 1 月,amazon( Amazon )集团旗下安全性拍摄 Ring 的运用 Neighbors 被曝出一个网络安全问题,泄漏了该运用客户的精准地方和家庭地址。通常情况下,尽管客户的贴子是公布的,但通常不容易表明客户名字或准确部位。被曝出的这一系统漏洞从 Ring 网络服务器获得掩藏数据信息,包含客户的住址。该系统漏洞使别人可以查找到该消费者的地方数据信息,而应用 Neighbors 的客户却看不见这种曝露出的数据信息。Ring Neighbors 运用在 2020 年就已有着 1000 万客户,但紧紧围绕 Ring IoT 电子门铃和监控摄像机的安全隐患自始至终无法处理。Ring 由于本次数据泄漏事情而遭遇集体诉讼。
2. Slack 移动智能终端公布客户凭据
据报道, 2021 年 1 月, Android 移动智能终端 Slack 的一个网络安全问题纪录了机器设备上的密文客户凭据。受影响的顾客被规定密码重置,并擦掉运用数据信息日志。Slack 称为有着超出 1200 万活泼客户,其危害之广显而易见。
3. SHAREit 共享文件运用易受远程控制执行命令危害
据外媒报道称, 2021 年 2 月,一款注册量超出 10 亿个的 Android 共享文件运用 SHAREit 中的系统漏洞已超3个月未修补。SHAREit 运用开发者忽视了一个可在手机上运作恶意程序的系统漏洞。尽管 SHAREit 最后修补了该系统漏洞,但在这之前,该编码已被上百万人共享资源。
4. 13 款 Android 运用泄漏上百万客户数据信息
Check Point Research 汇报称,2021 年 4 月, 13 款时兴的 Android 运用泄露了高达1亿客户的数据信息。开发者无法维护第三方云服务器,造成包含电子邮箱、闲聊信息内容、登陆密码和相片以内的本人数据泄漏。
5. ParkMobile 数据泄露危害 2100 万客户
上年,Krebs On Security在地底黑市交易发觉泊车运用(Park Mobile)高达 2100 数十万客户的账户信息。接着 ParkMobile 开发者发觉第三方软件泄漏了包含顾客电子邮箱地址、联系电话和车牌号码以内的个人数据。ParkMobil 也为此次泄漏客户数据信息而遭遇集体诉讼。
6. Klarna 付款运用曝露客户账户余额
2021年5月,Klarna的一款挪动金融机构运用遭受数据泄漏事情,造成广大群众陷入绝境。该运用的客户短暂性地看到了别的用户的账户信息,并非他们自己的。依据Klarna的公布,人为因素不正确造成了这种数据以一种出现意外的方法被缓存文件。偶然的是,该事情就出现在Klarna得到6.39亿美金新项目投资后没多久。
7. COVID Passport 运用曝露客户数据信息
在网络黑客运用新冠肺炎新冠疫情执行攻击的另一个实例是,澳大利亚 COVID 疫苗接种护照签证移动智能终端 Portpass 未数据加密个人数据,并以密文方式储存,泄漏了 650,000 名客户的个人数据,造成所有人都能够浏览其平台上的个人信息。
8. CBP泄漏数百万客户信息
在一项财务审计中发觉, 海关与边境线保护局( CBP )无法扫描仪 2016 年至 2019 年里公布的 91% 应用更新以检验系统漏洞。因为很多运用泄漏了个人信息信息内容,造成 CBP 开发设计的 6 款挪动护照签证操纵运用泄漏了高达 1000 数十万游客的个人数据。
9. Apple iMessage 中的零日系统漏洞危害了9亿台机器设备
做为 2021 年最高的移动智能终端数据泄漏事情之一, Apple iMessage 中的一个零日系统漏洞,使 iPhone 、 iPad 、 Watches 和 MacBooks 的 9 亿活跃性客户曝露于 NSO Group 恶意程序危害下,据了解 NSO 运用该系统漏洞监控政冶实践家。
2022年 移动智能终端安全性未来展望
根据以上安全事故,我们可以发觉移动智能终端安全性危害关键来自于下列层面:
- 不安全的编码容许攻击者浏览或控制系统,例如 iMessage 的数据泄漏事情说明,有缺陷的编码可以容许攻击者浏览设施上的任何內容;
- 移动智能终端和网络服务器间不安全的网络配置容许网络黑客开展中介人( man-in-the-middle )攻击;
- 机器设备上的不安全存储容许故意客户或恶意程序浏览隐秘数据;
- 泄露数据信息的运用(如 Amazon Ring Neighbors 应用数据泄漏事情)源于有误的编号,这也表明了编码安全性测试的必要性;
- 不安全的配备会根据互联网泄露数据信息,由于移动智能终端、营运商和服务器进行的通讯会造成繁杂的攻击面;
- 对隐秘数据的不合理安全防护(如 Klarna 数据泄漏事情)代表着移动智能终端会以密文方式曝露登陆密码和银行卡等隐秘数据。
我们在 2021 年见到的这种移动智能终端安全事故,为公司导致了数十亿美元的工资损害、修补成本费、知名品牌信誉损伤等。这种惨重的成功经验告知大家,大部分移动智能终端安全事故是由同样的系统漏洞、不安全的编号实践活动,及其欠缺充分的安全性测试导致的。
2022 年,这类违规操作将不断存有,危害还将再次,企业安全生产精英团队必须在全部开发软件生命期中加强对使用的检测,迅速地发觉系统漏洞,与此同时监管布署的全部移动智能终端,以明显减少 2022 年出现重要移动智能终端安全事故的概率。公司可以利用动态性移动智能终端安全性测试、对挪动开发者的更强学习培训及其更为高度重视移动智能终端安全性来防止出现这类事情。
参照连接:https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章