Procjene pokazuju da se broj ljudi kojima su kompromitovani lični podaci povećao za 312% od 2023. do 2024. godine.
Istraživači Zimperium-ovog zLabs tima analizirali su 17.333 Android i iOS mobilne aplikacije preuzete sa zvaničnih prodavnica aplikacija, koje koriste zaposleni kod korporativnih klijenata ove firme. Ovo istraživanje dolazi nakon procijenjenog porasta od 312% u broju pojedinaca čiji su lični podaci bili kompromitovani tokom 2024. godine: sa 419 miliona u 2023. na 1.7 milijardi u 2024. godini (prema podacima Identity Theft Resource Centra – ITRC).
S obzirom na to da se lični mobilni telefoni sve češće koriste u poslovnom okruženju, očekuje se da će se ovaj broj povećavati, a samim tim i prijetnja po poslovne sisteme rasti.
Dva najčešća slabija mjesta aplikacija koje su otkrili istraživači odnose se na pogrešnu konfiguraciju cloud skladišta i korišćenje loše kriptografije.
Od analiziranih aplikacija, 83 Android aplikacije (od kojih su četiri sa Google Play liste 100 najpopularnijih) koriste nezaštićena ili pogrešno podešena cloud skladišta. U nekim slučajevima, indeks fajlova je dostupan svima, dok se u drugim sadržaj može pristupiti bez ikakvih akreditiva. Budući da sajber kriminalci stalno pretražuju internet u potrazi za ovakvim nezaštićenim repozitorijumima, ovo predstavlja ozbiljnu prijetnju za podatke koje oni sadrže.
Deset Android aplikacija otkriva akreditive za AWS cloud servise – omogućavajući napadačima da čitaju podatke, pa čak i unose lažne podatke u sistem.
„Pogrešna konfiguracija cloud skladišta i izloženi akreditivi isto su što i da ostavite ulazna vrata otvorena i tvrdite da je kuća bezbjedna,“ komentariše Boris Cipot, stariji inženjer bezbjednosti u kompaniji Black Duck. „To je otvoren poziv za napadače da ukradu podatke jednostavnim iskorišćavanjem loših bezbjednosnih podešavanja aplikacije.“
Enkripcija je najčešći i najefikasniji metod zaštite podataka — ali samo ako se primjenjuje ispravno. „Ona je temelj bezbjedne komunikacije i skladištenja podataka,“ dodaje Cipot. Međutim, istraživači su otkrili da 92% svih testiranih aplikacija ne poštuje najbolje prakse — a 5% aplikacija iz top 100 sadrže ozbiljne kriptografske ranjivosti. Te slabosti uključuju tvrdo kodirane ključeve, zastarjele algoritme i nesigurne generatore slučajnih brojeva.
„Ovo je alarmantno,“ dodaje Cipot. „Prisustvo hardkodiranih ključeva i zastarjelih algoritama je posebno opasno jer upravo oni mogu biti uzrok kompromitacije velikih količina podataka.“
Iako se iOS često smatra bezbjednijim od Android-a, naročito kada su u pitanju aplikacije preuzete iz Apple-ove App Store prodavnice, Nico Chiaraviglio, glavni naučnik u Zimperium-u, komentariše da to nije nužno slučaj u ovim segmentima. „Vidimo slične probleme na obe platforme.“
Sve ovo rezultira velikim problemom za kompanije. Efikasnost zaposlenih je poželjna, i nemoguće je potpuno spriječiti korišćenje mobilnih telefona na poslu. Ova praksa je u porastu i vjerovatno će se nastaviti. Čak i kada zaposleni poštuju preporučene smjernice i instaliraju aplikacije samo iz zvaničnih prodavnica za Android i Apple, oni nesvjesno mogu uvesti ranjivosti koje ugrožavaju njihove lične, kao i povjerljive podatke same kompanije.
Potencijalni rizici za preduzeća uključuju izloženost podataka, kršenje propisa, narušavanje reputacije i posljedične finansijske gubitke.
Izvor: SecurityWeek
