Finansal Hizmetler Mobil Uygulamalarındaki Güvenlik Açığı Salgını
Mobil finansal hizmet uygulamalarını hedefleyen ve artarak yoğunlaşan siber güvenlik tehdidine rağmen, birçok finans kurumu, uygulamalarını koruma konusunda başarısız oluyor. Danışmanlık firması Aite Group tarafından yürütülen araştırma, mobil tüketici finans uygulamaları arasında yaygın güvenlik eksikliklerini ortaya çıkardı ve kaynak kodunun, kişisel olarak tanımlanabilen bilgilerin, hesap kimlik bilgilerinin ve arka uç sistemlerine erişimin açığa çıkmasına neden oldu.
Bu raporda Aite Group, Google Play mağazasında bulunan 30 farklı finansal hizmet uygulamasının koruyucu yeteneklerini inceledi. Yaygın olarak bulunan yazılım araçlarını kullanarak, neredeyse tüm uygulamalar kolaylıkla tersine mühendislik uygulandı, bu da uygulamaya uygun koruma ve kodlama en iyi uygulamalarının sistematik eksikliğini ortaya çıkardı.
Araştırmanın ortaya çıkardığı temel güvenlik açıkları arasında:
- İkili Korumaların Eksikliği – Test edilen tüm uygulamaların% 97’sinde ikili kod koruması bulunmadığından, kaynak kodu analize ve kurcalanmaya maruz bırakan uygulamaları tersine mühendislik veya yeniden derlemeyi mümkün kılar
- İstenmeyen Veri Sızıntısı – Uygulamaların% 90’ı, cihazdaki diğer uygulamalarla paylaşılan hizmetleri test etti ve finansal kurumun uygulamasındaki verileri cihazdaki diğer herhangi bir uygulama için erişilebilir bıraktı
- Güvensiz Veri Depolama – Test edilen uygulamaların% 83’ü, örneğin bir cihazın yerel dosya sisteminde, harici depolamasında ve diğer uygulamalarla paylaşılan erişime izin veren panoya kopyalanmış veriler gibi, uygulamanın kontrolü dışında güvenli olmayan şekilde depolanan verileri test etti; ve API’ler aracılığıyla yeni bir saldırı yüzeyini açığa çıkardı
- Zayıf Şifreleme – Test edilen uygulamaların% 80’inde zayıf şifreleme algoritmaları veya güçlü bir şifrenin yanlış uygulanması, rakiplerin hassas verilerin şifresini çözmesine ve gerektiğinde değiştirmesine veya çalmasına olanak tanıyor
- Güvensiz Rastgele Sayı Üretimi — Uygulamaların% 70’i, hassas bir kaynağa erişimi kısıtlamak için rastgele değerlere dayanan ve değerlerin kolayca tahmin edilmesini ve saldırıya açık hale gelmesini sağlayan güvenli olmayan rastgele sayı oluşturucu kullanır
Güvenli kodlama en iyi uygulamalarını uygulamak için neler yapabileceğinizi ve uygulama korumasını yazılım geliştirme yaşam döngüsüne nasıl dahil edeceğinizi öğrenmek için tam raporu makalemizin orjinal kaynağından indirebilirsiniz.
Makale Kaynağı: https://info.digital.ai/aite-research-financial-mobile-apps.html
Geri bildirim: Mobil uygulamalarda Güvenlik Tehditleri - Bilişim Profesyonelleri