2021 年，當(dāng)全世界的目光都聚焦在備受矚目的供應(yīng)鏈攻擊時，卻忽略了另一個岌岌可危的領(lǐng)域——移動應(yīng)用。回顧 2021 年，移動應(yīng)用安全事件頻發(fā)：從 Amazon Ring 和 Slack 等企業(yè)到美國海關(guān)和邊境保護局( CBP )，全球有接近四分之一的企業(yè)組織遭受過移動或物聯(lián)網(wǎng)數(shù)據(jù)泄露。以下整理出 2021 年度移動應(yīng)用代表性安全事件，供讀者參考了解。

2021 年移動應(yīng)用安全事件

1. Amazon Ring App 泄露用戶數(shù)據(jù)

2021 年 1 月，亞馬遜( Amazon )旗下安全攝像 Ring 的應(yīng)用 Neighbors 被曝出一個安全漏洞，泄露了該應(yīng)用用戶的準(zhǔn)確位置和家庭地址。正常情況下，雖然用戶的帖子是公開的，但通常不會顯示用戶姓名或確切位置。被曝出的這個漏洞從 Ring 服務(wù)器獲取隱藏數(shù)據(jù)，包括用戶的家庭住址。該漏洞使他人能夠檢索到該用戶的位置數(shù)據(jù)，而使用 Neighbors 的用戶卻看不到這些暴露出來的數(shù)據(jù)。Ring Neighbors 應(yīng)用在 2020 年就已擁有 1000 萬用戶，但圍繞 Ring IoT 門鈴和監(jiān)控攝像頭的安全問題始終未能解決。Ring 因為此次數(shù)據(jù)泄露事件而面臨集體訴訟。

2. Slack 移動應(yīng)用公開用戶憑證

據(jù)報道， 2021 年 1 月， Android 移動應(yīng)用 Slack 的一個安全漏洞記錄了設(shè)備上的明文用戶憑證。受影響的客戶被要求重置密碼，并擦除應(yīng)用數(shù)據(jù)日志。Slack 號稱擁有超過 1200 萬活躍用戶，其影響之廣可想而知。

3. SHAREit 文件共享應(yīng)用易受遠程代碼執(zhí)行影響

據(jù)外媒報道稱， 2021 年 2 月，一款下載量超過 10 億次的 Android 文件共享應(yīng)用 SHAREit 中的漏洞已超3個月未修復(fù)。SHAREit 應(yīng)用開發(fā)人員忽略了一個可在智能手機上運行惡意代碼的漏洞。雖然 SHAREit 最終修復(fù)了該漏洞，但在此之前，該代碼已被數(shù)百萬人共享。

4. 13 款 Android 應(yīng)用泄露數(shù)百萬用戶數(shù)據(jù)

Check Point Research 報告稱，2021 年 4 月， 13 款流行的 Android 應(yīng)用暴露了多達1億用戶的數(shù)據(jù)。開發(fā)人員未能保護第三方云服務(wù)，導(dǎo)致包括電子郵件、聊天信息、密碼和照片在內(nèi)的個人數(shù)據(jù)泄露。

5. ParkMobile 數(shù)據(jù)泄露影響 2100 萬用戶

去年，Krebs On Security在地下黑市發(fā)現(xiàn)停車應(yīng)用(Park Mobile)多達 2100 萬名用戶的賬戶信息。隨后 ParkMobile 開發(fā)人員發(fā)現(xiàn)第三方軟件泄露了包括客戶電子郵件地址、電話號碼和車牌號在內(nèi)的個人數(shù)據(jù)。ParkMobil 也因此次泄露用戶數(shù)據(jù)而面臨集體訴訟。

6. Klarna 支付應(yīng)用暴露用戶余額

2021年5月，Klarna的一款移動銀行應(yīng)用遭遇數(shù)據(jù)泄露事件，導(dǎo)致廣大客戶陷入困境。該應(yīng)用的用戶短暫地看到了其他用戶的賬戶信息，而非他們自己的。根據(jù)Klarna的披露，人為錯誤導(dǎo)致了這些信息以一種意外的方式被緩存。巧合的是，該事件就發(fā)生在Klarna獲得6.39億美元新投資后不久。

7. COVID Passport 應(yīng)用暴露用戶數(shù)據(jù)

在黑客利用新冠肺炎疫情實施攻擊的另一個例子是，加拿大 COVID 疫苗接種護照移動應(yīng)用 Portpass 未加密個人數(shù)據(jù)，并以明文形式存儲，泄露了 650,000 名用戶的個人數(shù)據(jù)，導(dǎo)致任何人都可以訪問其網(wǎng)站上的個人資料。

8. CBP泄露數(shù)千萬用戶信息

在一項審計中發(fā)現(xiàn)， 美國海關(guān)與邊境保護局( CBP )未能掃描 2016 年至 2019 年間發(fā)布的 91% 應(yīng)用更新以檢測漏洞。由于大量應(yīng)用泄露了個人身份信息，導(dǎo)致 CBP 開發(fā)的 6 款移動護照控制應(yīng)用泄露了多達 1000 萬名旅客的個人數(shù)據(jù)。

9. Apple iMessage 中的零日漏洞影響了9億臺設(shè)備

作為 2021 年最大的移動應(yīng)用數(shù)據(jù)泄露事件之一， Apple iMessage 中的一個零日漏洞，使 iPhone 、 iPad 、 Watches 和 MacBooks 的 9 億活躍用戶暴露于 NSO Group 間諜軟件威脅之下，據(jù)悉 NSO 利用該漏洞監(jiān)視政治活動家。

2022年 移動應(yīng)用安全展望

通過上述安全事件，我們可以發(fā)現(xiàn)移動應(yīng)用安全威脅主要來自于以下方面：

• 不安全的代碼允許攻擊者訪問或控制設(shè)備，例如 iMessage 的數(shù)據(jù)泄露事件表明，有缺陷的代碼可以允許攻擊者訪問設(shè)備上的所有內(nèi)容;
• 移動應(yīng)用和服務(wù)器間不安全的網(wǎng)絡(luò)配置允許黑客進行中間人( man-in-the-middle )攻擊;
• 設(shè)備上的不安全存儲允許惡意用戶或惡意軟件訪問敏感數(shù)據(jù);
• 泄漏數(shù)據(jù)的應(yīng)用(如 Amazon Ring Neighbors 應(yīng)用數(shù)據(jù)泄露事件)源自不正確的編碼，這也揭示了代碼安全測試的重要性;
• 不安全的配置會通過網(wǎng)絡(luò)泄漏數(shù)據(jù)，因為移動應(yīng)用、運營商和服務(wù)器之間的通信會產(chǎn)生復(fù)雜的攻擊面;
• 對敏感數(shù)據(jù)的不當(dāng)防護(如 Klarna 數(shù)據(jù)泄露事件)意味著移動應(yīng)用會以明文形式暴露密碼和信用卡等敏感數(shù)據(jù)。

我們在 2021 年看到的這些移動應(yīng)用安全事件，為企業(yè)造成了數(shù)十億美元的收入損失、修復(fù)成本、品牌聲譽受損等。這些慘痛的經(jīng)驗教訓(xùn)告訴我們，大多數(shù)移動應(yīng)用安全事件是由相同的漏洞、不安全的編碼實踐，以及缺乏足夠的安全測試造成的。

2022 年，這類違規(guī)行為將持續(xù)存在，威脅還將繼續(xù)，企業(yè)安全團隊需要在整個軟件開發(fā)生命周期中加強對應(yīng)用的測試，更快地發(fā)現(xiàn)漏洞，同時監(jiān)控部署的所有移動應(yīng)用，以顯著降低 2022 年發(fā)生重大移動應(yīng)用安全事件的幾率。企業(yè)可以通過動態(tài)移動應(yīng)用安全測試、對移動開發(fā)人員的更好培訓(xùn)以及更加重視移動應(yīng)用安全來避免發(fā)生這類事件。

參考鏈接：https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文