Ваш iPhone — решето? Исследование показало, что приложения на iOS сливают данные чаще, чем на Android

Коротко о главном

• Отчет предупреждает, что злоумышленники могут перехватывать вызовы API на устройствах iOS и делать их легитимными.
• Традиционные средства безопасности не могут защитить приложения от атак внутри устройства.
• Скомпрометированные мобильные устройства значительно повышают риск эксплуатации API.

Новое исследование от Zimperium утверждает, что мобильные приложения теперь являются основным полем битвы для атак на основе API, создавая серьезные риски мошенничества и кражи данных для предприятий.

Исследование показывает, что 1 из 3 приложений для Android и более половины приложений для iOS допускают утечку конфиденциальных данных, предоставляя злоумышленникам прямой доступ к критически важным для бизнеса системам.

Еще более тревожным является утверждение в отчете, что три из каждой 1000 мобильных устройств уже заражены, а 1 из 5 устройств на Android сталкивается с вредоносным ПО в дикой природе.

Видео от DGL.RU

Масштаб уязвимостей мобильных API

В отличие от веб-приложений, мобильные приложения поставляют конечные точки API и логику вызовов на недоверенные устройства, подвергая их потенциальному взлому и обратному инжинирингу.

Это позволяет злоумышленникам перехватывать трафик, изменять приложение и делать так, чтобы вредоносные вызовы API выглядели легитимными.

Традиционные средства защиты, такие как брандмауэры, шлюзы, прокси-серверы и проверка ключей API, не могут полностью защитить от этих угроз внутри приложения.

«API не просто обеспечивают работу мобильных приложений, они их раскрывают», — сказал Кришна Вишнубхотла, вице-президент по продуктовым решениям в Zimperium. «Традиционные средства безопасности не могут остановить атаки, происходящие внутри самого приложения. Защита API теперь требует встроенных в приложение средств защиты, которые обеспечивают безопасность на стороне клиента».

Вмешательство на стороне клиента является обычным явлением, поскольку злоумышленники могут перехватывать и изменять вызовы API до того, как они достигнут внутренних систем.

Даже SSL pinning, разработанный для предотвращения атак «человек посередине», имеет свои недостатки: почти 1 из 3 финансовых приложений для Android и 1 из 5 туристических приложений для iOS остаются уязвимыми.

Помимо раскрытия API, многие приложения неправильно обращаются с конфиденциальными данными на устройствах, как показало исследование Zimperium: распространенными проблемами являются логирование в консоль, внешнее хранилище и небезопасное локальное хранилище.

Например, 6% из 100 лучших приложений для Android записывают личную идентифицируемую информацию (PII) в логи консоли, а 4% записывают ее во внешнее хранилище, доступное для других приложений.

Даже локальное хранилище, хотя и не является общим, может стать уязвимым, если злоумышленник получит доступ к устройству.

Анализ также показывает, что почти треть (31%) всех приложений и 37% из топ-100 отправляют PII на удаленные серверы, часто без надлежащего шифрования.

Некоторые приложения включают SDK, способные тайно извлекать данные, записывать взаимодействия с пользователем, собирать данные о местоположении по GPS и отправлять информацию на внешние серверы.

Эти скрытые действия увеличивают риски для предприятий и показывают, что даже приложения из официальных магазинов могут нести серьезные угрозы безопасности.

«Поскольку мобильные приложения продолжают стимулировать бизнес-операции и цифровой опыт, обеспечение безопасности API изнутри становится критически важным для предотвращения мошенничества, кражи данных и сбоев в обслуживании», — добавил Вишнубхотла.

Как оставаться в безопасности

• Проверяйте приложения на предмет неправильного логирования конфиденциальной информации для предотвращения утечек данных.
• Убедитесь, что локальное хранилище данных зашифровано и недоступно для других приложений.
• Отслеживайте сетевой трафик для выявления приложений, отправляющих незашифрованную личную информацию.
• Выявляйте и удаляйте вредоносные SDK или сторонние компоненты, встроенные в приложения.
• Проверяйте разрешения приложений, чтобы убедиться, что они соответствуют предполагаемой функциональности.
• Проводите регулярные аудиты поведения приложений на предмет потенциальных уязвимостей.
• Внедряйте средства защиты во время выполнения для предотвращения взлома или обратного инжиниринга приложений.
• Используйте обфускацию кода для защиты бизнес-логики и конечных точек API от злоумышленников.
• Проверяйте, что вызовы API поступают только от легитимных, невзломанных приложений.
• Создайте процедуры реагирования на инциденты на случай компрометации мобильного приложения.
• Используйте программное обеспечение для мобильной безопасности, которое защищает от вредоносного ПО и атак программ-вымогателей.

iOS 26 и Liquid Glass: почему новая функция раздражает, но не бесит?