2021 年，當(dāng)全世界的目光都聚焦在備受矚目的供應(yīng)鏈攻擊時(shí)，卻忽略了另一個(gè)岌岌可危的領(lǐng)域——移動(dòng)應(yīng)用?；仡?2021 年，移動(dòng)應(yīng)用安全事件頻發(fā)：從 Amazon Ring 和 Slack 等企業(yè)到美國(guó)海關(guān)和邊境保護(hù)局( CBP )，全球有接近四分之一的企業(yè)組織遭受過(guò)移動(dòng)或物聯(lián)網(wǎng)數(shù)據(jù)泄露。以下整理出 2021 年度移動(dòng)應(yīng)用代表性安全事件，供讀者參考了解。

2021 年移動(dòng)應(yīng)用安全事件

1. Amazon Ring App 泄露用戶(hù)數(shù)據(jù)

2021 年 1 月，亞馬遜( Amazon )旗下安全攝像 Ring 的應(yīng)用 Neighbors 被曝出一個(gè)安全漏洞，泄露了該應(yīng)用用戶(hù)的準(zhǔn)確位置和家庭地址。正常情況下，雖然用戶(hù)的帖子是公開(kāi)的，但通常不會(huì)顯示用戶(hù)姓名或確切位置。被曝出的這個(gè)漏洞從 Ring 服務(wù)器獲取隱藏?cái)?shù)據(jù)，包括用戶(hù)的家庭住址。該漏洞使他人能夠檢索到該用戶(hù)的位置數(shù)據(jù)，而使用 Neighbors 的用戶(hù)卻看不到這些暴露出來(lái)的數(shù)據(jù)。Ring Neighbors 應(yīng)用在 2020 年就已擁有 1000 萬(wàn)用戶(hù)，但圍繞 Ring IoT 門(mén)鈴和監(jiān)控?cái)z像頭的安全問(wèn)題始終未能解決。Ring 因?yàn)榇舜螖?shù)據(jù)泄露事件而面臨集體訴訟。

2. Slack 移動(dòng)應(yīng)用公開(kāi)用戶(hù)憑證

據(jù)報(bào)道， 2021 年 1 月， Android 移動(dòng)應(yīng)用 Slack 的一個(gè)安全漏洞記錄了設(shè)備上的明文用戶(hù)憑證。受影響的客戶(hù)被要求重置密碼，并擦除應(yīng)用數(shù)據(jù)日志。Slack 號(hào)稱(chēng)擁有超過(guò) 1200 萬(wàn)活躍用戶(hù)，其影響之廣可想而知。

3. SHAREit 文件共享應(yīng)用易受遠(yuǎn)程代碼執(zhí)行影響

據(jù)外媒報(bào)道稱(chēng)， 2021 年 2 月，一款下載量超過(guò) 10 億次的 Android 文件共享應(yīng)用 SHAREit 中的漏洞已超3個(gè)月未修復(fù)。SHAREit 應(yīng)用開(kāi)發(fā)人員忽略了一個(gè)可在智能手機(jī)上運(yùn)行惡意代碼的漏洞。雖然 SHAREit 最終修復(fù)了該漏洞，但在此之前，該代碼已被數(shù)百萬(wàn)人共享。

4. 13 款 Android 應(yīng)用泄露數(shù)百萬(wàn)用戶(hù)數(shù)據(jù)

Check Point Research 報(bào)告稱(chēng)，2021 年 4 月， 13 款流行的 Android 應(yīng)用暴露了多達(dá)1億用戶(hù)的數(shù)據(jù)。開(kāi)發(fā)人員未能保護(hù)第三方云服務(wù)，導(dǎo)致包括電子郵件、聊天信息、密碼和照片在內(nèi)的個(gè)人數(shù)據(jù)泄露。

5. ParkMobile 數(shù)據(jù)泄露影響 2100 萬(wàn)用戶(hù)

去年，Krebs On Security在地下黑市發(fā)現(xiàn)停車(chē)應(yīng)用(Park Mobile)多達(dá) 2100 萬(wàn)名用戶(hù)的賬戶(hù)信息。隨后 ParkMobile 開(kāi)發(fā)人員發(fā)現(xiàn)第三方軟件泄露了包括客戶(hù)電子郵件地址、電話(huà)號(hào)碼和車(chē)牌號(hào)在內(nèi)的個(gè)人數(shù)據(jù)。ParkMobil 也因此次泄露用戶(hù)數(shù)據(jù)而面臨集體訴訟。

6. Klarna 支付應(yīng)用暴露用戶(hù)余額

2021年5月，Klarna的一款移動(dòng)銀行應(yīng)用遭遇數(shù)據(jù)泄露事件，導(dǎo)致廣大客戶(hù)陷入困境。該應(yīng)用的用戶(hù)短暫地看到了其他用戶(hù)的賬戶(hù)信息，而非他們自己的。根據(jù)Klarna的披露，人為錯(cuò)誤導(dǎo)致了這些信息以一種意外的方式被緩存。巧合的是，該事件就發(fā)生在Klarna獲得6.39億美元新投資后不久。

7. COVID Passport 應(yīng)用暴露用戶(hù)數(shù)據(jù)

在黑客利用新冠肺炎疫情實(shí)施攻擊的另一個(gè)例子是，加拿大 COVID 疫苗接種護(hù)照移動(dòng)應(yīng)用 Portpass 未加密個(gè)人數(shù)據(jù)，并以明文形式存儲(chǔ)，泄露了 650,000 名用戶(hù)的個(gè)人數(shù)據(jù)，導(dǎo)致任何人都可以訪(fǎng)問(wèn)其網(wǎng)站上的個(gè)人資料。

8. CBP泄露數(shù)千萬(wàn)用戶(hù)信息

在一項(xiàng)審計(jì)中發(fā)現(xiàn)， 美國(guó)海關(guān)與邊境保護(hù)局( CBP )未能掃描 2016 年至 2019 年間發(fā)布的 91% 應(yīng)用更新以檢測(cè)漏洞。由于大量應(yīng)用泄露了個(gè)人身份信息，導(dǎo)致 CBP 開(kāi)發(fā)的 6 款移動(dòng)護(hù)照控制應(yīng)用泄露了多達(dá) 1000 萬(wàn)名旅客的個(gè)人數(shù)據(jù)。

9. Apple iMessage 中的零日漏洞影響了9億臺(tái)設(shè)備

作為 2021 年最大的移動(dòng)應(yīng)用數(shù)據(jù)泄露事件之一， Apple iMessage 中的一個(gè)零日漏洞，使 iPhone 、 iPad 、 Watches 和 MacBooks 的 9 億活躍用戶(hù)暴露于 NSO Group 間諜軟件威脅之下，據(jù)悉 NSO 利用該漏洞監(jiān)視政治活動(dòng)家。

2022年 移動(dòng)應(yīng)用安全展望

通過(guò)上述安全事件，我們可以發(fā)現(xiàn)移動(dòng)應(yīng)用安全威脅主要來(lái)自于以下方面：

• 不安全的代碼允許攻擊者訪(fǎng)問(wèn)或控制設(shè)備，例如 iMessage 的數(shù)據(jù)泄露事件表明，有缺陷的代碼可以允許攻擊者訪(fǎng)問(wèn)設(shè)備上的所有內(nèi)容;
• 移動(dòng)應(yīng)用和服務(wù)器間不安全的網(wǎng)絡(luò)配置允許黑客進(jìn)行中間人( man-in-the-middle )攻擊;
• 設(shè)備上的不安全存儲(chǔ)允許惡意用戶(hù)或惡意軟件訪(fǎng)問(wèn)敏感數(shù)據(jù);
• 泄漏數(shù)據(jù)的應(yīng)用(如 Amazon Ring Neighbors 應(yīng)用數(shù)據(jù)泄露事件)源自不正確的編碼，這也揭示了代碼安全測(cè)試的重要性;
• 不安全的配置會(huì)通過(guò)網(wǎng)絡(luò)泄漏數(shù)據(jù)，因?yàn)橐苿?dòng)應(yīng)用、運(yùn)營(yíng)商和服務(wù)器之間的通信會(huì)產(chǎn)生復(fù)雜的攻擊面;
• 對(duì)敏感數(shù)據(jù)的不當(dāng)防護(hù)(如 Klarna 數(shù)據(jù)泄露事件)意味著移動(dòng)應(yīng)用會(huì)以明文形式暴露密碼和信用卡等敏感數(shù)據(jù)。

我們?cè)?2021 年看到的這些移動(dòng)應(yīng)用安全事件，為企業(yè)造成了數(shù)十億美元的收入損失、修復(fù)成本、品牌聲譽(yù)受損等。這些慘痛的經(jīng)驗(yàn)教訓(xùn)告訴我們，大多數(shù)移動(dòng)應(yīng)用安全事件是由相同的漏洞、不安全的編碼實(shí)踐，以及缺乏足夠的安全測(cè)試造成的。

2022 年，這類(lèi)違規(guī)行為將持續(xù)存在，威脅還將繼續(xù)，企業(yè)安全團(tuán)隊(duì)需要在整個(gè)軟件開(kāi)發(fā)生命周期中加強(qiáng)對(duì)應(yīng)用的測(cè)試，更快地發(fā)現(xiàn)漏洞，同時(shí)監(jiān)控部署的所有移動(dòng)應(yīng)用，以顯著降低 2022 年發(fā)生重大移動(dòng)應(yīng)用安全事件的幾率。企業(yè)可以通過(guò)動(dòng)態(tài)移動(dòng)應(yīng)用安全測(cè)試、對(duì)移動(dòng)開(kāi)發(fā)人員的更好培訓(xùn)以及更加重視移動(dòng)應(yīng)用安全來(lái)避免發(fā)生這類(lèi)事件。

參考鏈接：https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文