几维资讯> 行业资讯

移动应用泄漏设备和位置数据,可见移动安全的重要性!

几维安全 2017-09-05 17:34:19  4071
分享到:

移动安全.png

AndroidiOS应用程序都会泄露数据,从而使用户易受数据窃取,拒绝服务攻击和远程SIM卡生根的侵害。

在周四发布的一份报告中,“ 移动应用程序在企业中是否漏洞?“几维安全的研究人员断言,AndroidiOS用户同样容易受到与移动应用程序相关的各种移动安全威胁的影响。

据报道,企业面临越来越多的BYOD设备入侵工作场所以及用户从第三方来源下载风险应用程序的挑战。几维安全在三个月内对4500万笔交易进行研究,发现隐私泄露是将开发人员服务器或广告服务器发送元数据,位置信息和个人身份信息的应用程序数量过多的最严重问题。该报告呼吁企业执行更严格的移动设备管理程序,以保护用户和网络资产。

IT管理员说:“应该采用严格的MDM政策并教育员工了解应用程序的安全性,以避免任何形式的  数据  丢失或安全漏洞。”管理员需要采取控制允许安装在设备上的应用程序类型,并且需要监视通过公司网络的应用程序流量并执行策略。

当涉及到四分之一的监控2000Android应用程序交易时,研究报告说,0.3%的数据导致一些第三方私人数据可用。几维安全表示,其中58%的Android交易泄漏与手机的国际移动设备身份(IMEI)号码,媒体访问控制地址和国际移动用户身份(IMSI)号码的曝光有关。

“这些数据可以用于跟踪设备并创建有针对性的攻击。在这些情况下,用户数据以明文方式与服务器或广告服务器共享。

Android交易泄漏的另一个很高比例(39.3%)与用户的位置相关,包括精确的纬度和经度坐标。丢失的数据不太重要,揭示了Android用户的个人身份信息,可以让第三方访问用户的手机号码和电子邮件地址。

说到iOS应用程序时,iPhoneiPad在安全风险方面不是灵丹妙药。事实上,通过头发,iOS应用程序会显示比Android对手更多的私人数据。但是,iOS放弃的数据类型并不严重。

根据三个月的iOS帐户2600万的样本量,0.5%的用户共享隐私相关信息。

大部分数据是72.3%,是iOS设备元数据。另有27%的iOS数据是位置数据。在iOS设备上泄露的大约0.2%的数据是个人身份信息。在发送隐私相关信息的所有iOS交易中,有5%是恶意感染。

大的外包是,无论移动操作系统如何,泄漏的数据都可以用于更复杂的攻击。几维安全断言,个人信息加上位置数据可以很容易地用于精心制作的网络钓鱼攻击。

“因为像MACGSM IMEIIMSIUDID这样的硬件标识是全球唯一的,并且在设备的整个生命周期内不会改变,所以这样的ID的集合允许跟踪和物理设备关联。这些标识符可以被一系列攻击所利用,“报告中写道。

攻击可能包括GSM空中接口攻击,黑客装备目标的IMEI可以执行远程SMS拒绝服务攻击或远程SIM卡生根。

“在这个全球时代,任何人的确切位置是非常有价值的,在这个时代,大量的间谍和欺骗已经完成; 这些信息可能导致大规模的妥协和/或有针对性的攻击。写道:电话号码和电子邮件地址是达到任何个人的最快方法,可以用于垃圾邮件和网络钓鱼攻击。“

在引用IBMPonemon研究所的一项研究报告中指出,40%的企业不会扫描内部开发的应用程序来实现安全漏洞。这些内部开发商中有百分之五十没有任何资金用于安全漏洞测试。

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》