Mobilalkalmazások biztonsági vizsgálata

• “Dirty Stream” sebezhetőség – Xiaomi File Manager, WPS Office stb.

Egy path traversal jellegű hiba lehetővé tette, hogy rosszindulatú alkalmazások felülírjanak fájlokat a sérülékeny alkalmazások saját adattárában. Ez komoly adatlopáshoz vagy akár tokenek, hitelesítő adatok kiszivárgásához vezethet. The Hacker News

• Pinduoduo app offPlay verziói – Android 0day exploit

A Kínai Pinduoduo ekereskedelmi alkalmazás bizonyos nem hivatalos terjesztési forrásokból elérhető verzióiban nulladik napi sebezhetőségeket használtak ki, amelyekkel adatokat loptak és más káros kódokat telepítettek a felhasználók telefonjaira. arstechnica.com+ 1

• Fake banking app / phishing trojan kampány

Androidon jelent meg egy olyan hamis banki alkalmazás, amit Telegramcsatornákon terjesztettek. Az alkalmazás megtévesztően hasonlított a valódi banki apphoz, és adatlopó trojan modult tartalmazott. A felhasználókat rávetítették, hogy adják meg bankszámlájuk adatait, jelszavakat, stb. Forbes

• Aditya Birla Capital Digital – Digital gold lopás

Az Aditya Birla Capital mobilalkalmazásán keresztül digitális arany („digital gold”) vásárlással kapcsolatos szolgáltatásból közel ₹1.95 crore (több millió forintnyi) értékű arany tűnt el, amikor hackerek hozzáférést szereztek több felhasználói fiókhoz. The Economic Times

• Tea (dating / redflag safety app) – adatvédelmi incidens

A Tea nevű alkalmazás, amely arra szolgál, hogy nők anonim módon megosszák “red flag” figyelmeztetéseiket (rossz tapasztalataikat), szenvedett egy adatvédelmi incidensben: körülbelül 72,000 kép került ki, köztük ~13,000 selfie vagy személyazonosító okmányt tartalmazó fotó, valamint privát üzenetek. AP News+ 1

Tanulságok / Mit lehet tanulni ezekből

• Thirdparty és nem hivatalos források kockázata: Sok incidens abból adódik, hogy felhasználók nem hivatalos appstoreból vagy APKt használnak, ahol nehéz garantálni a kód integritását.
• PH és hamis alkalmazások: A hamis banki app vagy hamis szolgáltatás imitálása (spoofing) hatékony módszer, mert az emberek gyakran bíznak meg a látszatban.
• Jogosultságok és izoláció problémái: Az olyan sebezhetőségek, amelyekkel alkalmazások átléphetik a saját sandboxjuk határait (pl. path traversal, content provider hibák), rendkívül veszélyesek.
• Adatmentés / tárolás / titkosítás hiányosságai: Ha egy alkalmazás nem titkosítja a felhasználói adatokat vagy nem védi megfelelően a média (képek, dokumentumok) feltöltéseket, akkor ezek könnyen hozzáférhetővé válhatnak.
• Incident detection és válasz: Nagyon fontos, hogy legyen monitoring, biztonsági logok, behatolásérzékelés, valamint reagálási terv arra az esetre, ha valami baj történik.