وجود آسیب‌پذیری‌های امنیتی برای ۹۶٪ از برنامه‌های تلفن همراه

وجود آسیب‌پذیری‌های امنیتی برای ۹۶٪ از برنامه‌های تلفن همراه

براساس گزارش سنزیک (Cenzic)، بهبودهایی در توسعه‌ی وصلهها و شیوه‌های برنامه‌نویسی امن تاثیرات جزئی در بروز آسیب‌پذیری‌های امنیتی به چشم میخورد.

با این حال ظهور BYOD (آوردن دستگاه خودتان)، خدمات ابری و برنامه‌های همراه و ادامه‌ی شکست سازمان‌ها برای شناسایی سواستفاده‌هایی که منجر به افشای اطلاعات می‌شوند، احراز هویت و اعطای مجوز، و مدیریت سشن‌ها، موجب شده آسیب‌پذیری‌ها همواره باقی بمانند. در حقیقت، متوسط تعداد آسیب‌پذیری‌ها به ازای هر برنامه ۱۴ است که نسبت به سال گذشته که ۱۳ بوده افزایش داشته است.

این گزارش از طیف وسیعی از یافته‌ها در مورد آسیب‌پذیری امنیتی برنامه‌ها پرده‌برداری کرده که شامل موارد زیر هستند:

• رشد مداوم وقوع اشکالات امنیتی در برنامه‌های تلفن همراه. طبق این بررسی، نقض حریم خصوصی و امتیازات دسترسی بیش از حد در ۸۰٪ از برنامه‌های موبایل مشهود است.

• افزایش وقوع آسیب‌پذیری‌های یافته شده در برنامه‌های تلفن همراه اشتراک گذاشته شده با شخص ثالث. امروزه ارائه‌دهندگان خدمات ابری و شرکای زنجیره‌ی تامین که ممکن است از خارج از سازمان به اطلاعات دسترسی داشته باشند منبع اصلی تهدیدات هستند.

• افشای اطلاعات به دلیل آسیب‌پذیری برنامه‌ها. نزدیک به ۲۳٪ از آسیب‌پذیری‌ها مرتبط به افشای اطلاعاتی هستند که طی آن یک برنامه به طور نامناسبی داده‌های حساس مانند جزئیات فنی برنامه یا داده‌های خاص کاربر را افشا کرده است.

• مشکل قدیمی حملات تزریق کد (XSS) همچنان پابرجاست. ۲۵٪ از آسیب‌پذیری‌ها مرتبط به حملات تزریق کد است که طی آن برنامه به مهاجمان این امکان را می‌دهد که اسکریپت‌های آلوده را از طریق یک URL مورد اعتماد ارسال کنند.

• آسیب پذیری‌های متعدد در سایر حوزه‌ها قابل چشم‌پوشی نیستند. نقص‌های به وقوع پیوسته در احراز هویت یا اعطای مجوز ۱۵٪ و خطاهای مدیریت سشن ۱۳٪ از آسیب‌پذیری‌ها را تشکیل می‌دهند.

بسیاری از آسیب‌پذیری‌های امروزی، حتی آن‌هایی که نسبتا جدید هستند قابل پیشگیریند.

سنزیک برخی اقدامات کلیدی مفید برای شرکت‌ها جهت امن‌سازی برنامه‌هایشان را ارائه کرده:

پیاده‌سازی روش برنامه‌نویسی امن. این روش در حقیقت تکنیک‌های استفاده شده توسط توسعه‌دهندگان برنامه‌ها جهت جلوگیری از نقض‌های امنیی احتمالی است. شیوه‌های برنامه‌نویسی با کیفیت بالا موثرترین عامل بازدارنده‌ی حملات هستند.

استفاده از دیواره آتش برنامه‌های وب (WAF). فایروال برنامه‌های وب امکان مسدودسازی برخی از آسیب‌پذیری‌های موجود در برنامه‌ها را بدون بازنویسی کد برنامه فراهم می‌کند. WAF‌ها شیوه‌ای موثر برای مسدودسازی سریع آسیب‌پذیری‌های کشف شده در برنامه‌ها بدون نیاز به انتشار مجدد کل برنامه بدون آن آسیب‌پذیری‌ها هستند.

اطمینان از پیکربندی مناسب سرور. این مورد شامل طیف وسیعی از اقدامات جهت مدیریت سخت‌افزار سرور، سیستم‌عامل‌ها و گواهینامه‌های امنیتی در دستگاه‌هایی که برنامه‌های خاصی اجرا می‌کنند است.