פרצות אבטחה באפליקציות לנייד – מחקר ינסה למצוא פתרונות

פרצות אבטחה באפליקציות לנייד – מחקר ינסה למצוא פתרונות

security breaches

This post is also available in: enEnglish (אנגלית)

אפליקציות בטלפונים הניידים הופכות להיות יותר ויותר חשופות לפרצות אבטחה. חוקרים ב-Virginia Tech  גילו לאחרונה כי אותן אפליקציות שאנו רגילים להשתמש בהן בטלפון לצורך ארגון פגישות, רכישות אונליין וכו' הפכו בחשאי לאמצעי לגניבת מידע אישי.

מחקר חדש מנסה למצוא פתרון לבעיה, במימון הסוכנות האמריקאית למחקרים מתקדמים בתחום ההגנה, במסגרת יוזמה בנושא אבטחת הסייבר.

החוקרים, דפנה יאו וגנג וונג, שניהם מהמחלקה למדעי המחשב בבית-הספר להנדסה ב-Virginia Tech, משתתפים בצוות המחקר שיערוך לראשונה מחקר שיטתי בהיקף נרחב, במטרה לבחון איך האפליקציות באנדרואיד מסוגלות לתקשר אחת עם השניה ולהעביר מידע.

"החוקרים מודעים לכך שהאפליקציות עלולות לדבר אחת עם השניה בצורה כלשהי", אמר וונג. "המחקר הזה מראה ללא כל ספק שהתנהגות זו של האפליקציות, בין אם מכוונת ובין אם לא, עלולה להציב בעיית אבטחה רצינית, בתלות בסוג האפליקציה".

לפי vtnews.vt.edu, סוגי האיומים מתחלקים לשתי קטגוריות עיקריות: אפליקציות תוכנה מזיקה המיועדות לבצע מתקפת סייבר, או אפליקציות שפשוט מאפשרות פעולות זדוניות. באלה האחרונות לא ניתן להעריך את כוונת המפתחים, כך שהפרה זו עשויה בהחלט גם להיות בלתי מכוונת.

כדי להריץ את התוכניות לבחינת זוגות של אפליקציות לצורך בדיקות האבטחה, פיתח הצוות כלי בשם DIALDroid. המחקר בעזרת תוכנה חדשה זו לקח 6340 שעות בלבד, משימה שהיתה אורכת זמן רב יותר ללא התוכנה.

"הצוות שלנו הצליח לנצל את חוזקותיהם היחסיות של מאגרי המידע על מנת להשלים את הניתוח, בשילוב עם ניתוח תכנות יעיל, טכניקות הנדסיות של זרימת עבודה ואופטימיזציה, וכן שימוש במחשוב רב עוצמה. מתוך האפליקציות שבדקנו, מצאנו אלפי זוגות שיכולים בקלות להדליף מידע רגיש ולאפשר לאפליקציות לא מורשות להשיג גישה לנתונים חסויים", אמרה יאו.

הצוות חקר 100,150 זוגות אפליקציות במשך שלוש שנים, כולל 100,206 מהאפליקציות הפופולריות ביותר של גוגל פליי, ו-9994 אפליקציות מזיקות ממאגר פרטי של דוגמאות בשם Virus Share.

הדלפות המידע מתרחשות כאשר אפליקציית שליחה תמימה כמו זו של הפנס פועלת יחד עם אפליקציית קליטה על מנת להשיג מידע של המשתמש, כמו פרטי אנשי קשר, מיקום גיאוגרפי או לאפשר גישה לרשת.

הצוות גילה כי סיכוני האבטחה המשמעותיים ביותר היו דווקא בישומים הכי פחות מועילים, כמו פרסונליזציה של צילי הצלצול, ווידג'טים וסמלי אמוג'י.

"כיום, תחום אבטחת האפליקציות דומה למערב הפרוע, ורמת הרגולציה נמוכה", אמר וונג. "אנו מקווים שהמחקר יניע את התעשיה לשקול בחינה מחדש של תהליכי פיתוח התוכנה ולשלב אמצעי הגנה ביישומים. אמנם אנחנו לא יכולים לזהות את הכוונות של מפתחי האפליקציות אולם ניתן לפחות להעלות את המודעות לבעיית אבטחה זו כדי שהצרכנים שקודם לכן לא הקדישו מחשבה למה שהם מורידים לטלפון החכם."