專家警告:企業移動應用程式潛藏安全風險
幾乎所有企業的移動應用程式都存在安全風險,專家指出,最常見的缺陷包括錯誤配置的雲端儲存、硬編碼的憑證或過時的加密技術。根據 Zimperium 的研究,如果企業使用移動應用程式,這些應用程式可能會洩漏敏感信息,從而使整個運營面臨數據泄露、信任損失、法規罰款及其他一系列問題的風險。
Zimperium 的網絡安全研究人員分析了超過 17,000 款企業移動應用程式,發現許多應用程式存在漏洞,如錯誤配置的雲端儲存、硬編碼的憑證或過時的加密技術。儘管這些漏洞並不特定於某一平台,但 iOS 應用程式的脆弱性明顯更高(iOS 上有 11,626 款,Android 上有 6,037 款)。
具體來看,研究人員發現 83 款 Android 應用程式存在錯誤配置或未受保護的雲端儲存,另外還有 10 款 Android 應用程式暴露了 AWS 憑證。幾乎所有分析的應用程式都使用了弱或有缺陷的加密技術,其中前 100 款應用程式中有五款存在高嚴重性加密缺陷,其他一些同樣來自前 100 的應用程式則有儲存目錄對外公開的情況。
研究人員表示:「我們的研究發現,88% 的應用程式以及 43% 的前 100 款應用程式使用了一種或多種不符合最佳實踐的加密方法。在某些情況下,存在高嚴重性的加密缺陷。」為了避免這些風險,Zimperium 建議每家公司的移動設備管理者應該能夠掌握應用程式的行為模式,從而識別錯誤配置的雲端儲存設置、檢測暴露的憑證和 API 密鑰,並評估雲服務集成的安全性。
此外,他們還應驗證加密方法和密鑰管理,識別過時或弱的算法,評估集成雲 SDK 的安全性,驗證第三方加密實現,並監控已知的漏洞。Zimperium 最後指出:「我們無法改變應用程式,但可以選擇允許哪些應用程式,以確保數據的安全。」
更多 Wearable 消息 / 配件開箱
按此即做速度測試:香港網速測試 SpeedTest HK
https://www.techritual.com/speedtest/
