Μια νέα έκθεση ασφαλείας από την Checkmarx ισχυρίζεται ότι η προστατευμένη περιοχή που είναι το App Store της Apple μπορεί να μην είναι το ασφαλές καταφύγιο όσο λέει ότι είναι. Η έκθεση υποστηρίζει συγκεκριμένα ότι οι iOS εφαρμογές έχουν το μεγαλύτερο ποσοστό των κρίσιμων ή υψηλής σοβαρότητας, τρωτών σημείων στη ασφάλεια σε σύγκριση με Android εφαρμογές.
Για τους σκοπούς της έκθεσης, μια κρίσιμη ευπάθεια ορίζεται ως μία ", που εκθέτει σε σημαντικό κίνδυνο για την ασφάλεια απευθείας δηλαδή (δεν χρειάζεται συμμετοχή του χρήστη). Αν αξιοποιηθεί, η απειλή για την ασφάλεια θα μπορούσε να προκαλέσει μεγάλη ζημιά στην εφαρμογή
ή / και να έχουν σημαντική επίπτωση στην εταιρεία. "
Συνολικά, η έκθεση υποστηρίζει ότι η έννοια ότι τα iOS apps είναι πολύ πιο ασφαλείς από ότι οι Android εφαρμογές είναι αναμφισβήτητα ένας μύθος.
CSO αναδεικνύει μερικά από τα ευρήματα της έκθεσης ως εξής:
Από τα iOS τρωτά σημεία, το 40 % ήταν κρίσιμες ή υψηλής σοβαρότητας, σε σύγκριση με 36 τοις εκατό των τρωτών σημείων του Android, είπε ο Amit Ashbel, διευθυντής μάρκετινγκ προϊόντος στη Checkmarx.
Ερευνητές εξέτασαν εκατοντάδες εφαρμογές κάθε είδους, συμπεριλαμβανομένων των τραπεζών, επιχειρήσεις κοινής ωφέλειας, το λιανικό εμπόριο, το gaming και την ασφάλεια - και ακόμα και μεγάλες τραπεζικές εφαρμογές είχαν τρωτά σημεία, όπως η ελαττωματική ταυτότητα και διαρροή δεδομένων.
"Θα περίμενε κανείς οι οικονομικές εφαρμογές να είναι λίγο πιο ασφαλής, αλλά βλέπουμε ότι περισσότερο ή λιγότερο όλοι είναι το ίδιο», είπε ο Ashbel.
Το ενδιαφέρον είναι ότι οι ερευνητές ασφαλείας βρήκαν ότι το πιο διαδεδομένο κέντρο ευπάθειας στις εφαρμογές είναι η διαρροή προσωπικών και ευαίσθητων πληροφοριών των καταναλωτών.
Τώρα, για να είμαστε δίκαιοι, είναι απίστευτα εύκολο να ανακατεύουμε τους αριθμούς των δειγμάτων και τα στατιστικά στοιχεία, και παραμένει ασαφές αν το iOS είναι πραγματικά πιο επικίνδυνο από το Android. Εξάλλου , η έκθεση φαίνεται να επικεντρώνει σε ποσοστά αντί συγκεκριμένων μετρήσεων.
Σκεφτείτε το εξής σενάριο: 10 εφαρμογές στο App Store έχουν τρύπες ασφαλείας. Από αυτή την ομάδα, τα 4 έχουν τρωτά σημεία που θεωρούνται κρίσιμα, αποδίδοντας το ποσοστό του 40% όπως η Checkmarx αναφέρει παραπάνω. Την ίδια στιγμή, φανταστείτε ότι 100 εφαρμογές από το κατάστημα Google Play έχουν τρύπες ασφαλείας. Και από αυτή την ομάδα, να πούμε ότι 36 θεωρούνται ότι είναι κρίσιμης φύσης, αποδίδοντας ένα ποσοστό 36%. Χωρίς να γνωρίζει κάποιος τους αριθμούς των δειγμάτων , τα ποσοστά δεν λένε απολύτως τίποτα.
Από την άλλη , δεν μπορούμε να απορρίψουμε με συνοπτικές διαπιστώσεις την δουλεία της Checkmarx , αφού και ειδικά υπό το φως των εκθέσεων της ανάφερε ότι ένα δημοφιλές app του
App Store, έχει συγκεντρώσει τα ονόματα χρήστη και κωδικούς πρόσβασης του Instagram και την αποστολή τους σε έναν απομακρυσμένο server. Τι περισσότερο, αφού η εν λόγω εφαρμογή, που ονομάζεται InstaAgent, κατηγορείται επίσης για τη μη εξουσιοδοτημένη δημοσίευση εικόνων σε λογαριασμούς χρηστών χωρίς την άδειά τους.
Η εφαρμογή έκτοτε αποσύρθηκε από το App Store, αλλά όχι πριν να γίνει η κορυφαία δωρεάν εφαρμογή σε όλη τη Βρετανία και τον Καναδά. Η εφαρμογή ήταν επίσης διαθέσιμη για το Android, αλλά θα νόμιζε κανείς ότι η Apple, με την διαγωνιστική διαδικασία της, θα είχε εντοπίσει το πρόβλημα νωρίτερα. Ακόμη πιο τρελό, η Google αφαίρεσε την εφαρμογή από το κατάστημα Google Play πριν την αφαιρέσει η Apple από το App Store!
Ίσως, η αγαπημένη της Apple "προστατευμένη περιοχή" μπορεί να μην είναι τόσο παρθένα όπως όλοι έχουμε οδηγηθεί να πιστεύουμε.