文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

回顾:2021年度代表性移动应用安全事件

2024-12-02 10:01

关注

2021 年移动应用安全事件

1. Amazon Ring App 泄露用户数据

2021 年 1 月,亚马逊( Amazon )旗下安全摄像 Ring 的应用 Neighbors 被曝出一个安全漏洞,泄露了该应用用户的准确位置和家庭地址。正常情况下,虽然用户的帖子是公开的,但通常不会显示用户姓名或确切位置。被曝出的这个漏洞从 Ring 服务器获取隐藏数据,包括用户的家庭住址。该漏洞使他人能够检索到该用户的位置数据,而使用 Neighbors 的用户却看不到这些暴露出来的数据。Ring Neighbors 应用在 2020 年就已拥有 1000 万用户,但围绕 Ring IoT 门铃和监控摄像头的安全问题始终未能解决。Ring 因为此次数据泄露事件而面临集体诉讼。

2. Slack 移动应用公开用户凭证

据报道, 2021 年 1 月, Android 移动应用 Slack 的一个安全漏洞记录了设备上的明文用户凭证。受影响的客户被要求重置密码,并擦除应用数据日志。Slack 号称拥有超过 1200 万活跃用户,其影响之广可想而知。

3. SHAREit 文件共享应用易受远程代码执行影响

据外媒报道称, 2021 年 2 月,一款下载量超过 10 亿次的 Android 文件共享应用 SHAREit 中的漏洞已超3个月未修复。SHAREit 应用开发人员忽略了一个可在智能手机上运行恶意代码的漏洞。虽然 SHAREit 最终修复了该漏洞,但在此之前,该代码已被数百万人共享。

4. 13 款 Android 应用泄露数百万用户数据

Check Point Research 报告称,2021 年 4 月, 13 款流行的 Android 应用暴露了多达1亿用户的数据。开发人员未能保护第三方云服务,导致包括电子邮件、聊天信息、密码和照片在内的个人数据泄露。

5. ParkMobile 数据泄露影响 2100 万用户

去年,Krebs On Security在地下黑市发现停车应用(Park Mobile)多达 2100 万名用户的账户信息。随后 ParkMobile 开发人员发现第三方软件泄露了包括客户电子邮件地址、电话号码和车牌号在内的个人数据。ParkMobil 也因此次泄露用户数据而面临集体诉讼。

6. Klarna 支付应用暴露用户余额

2021年5月,Klarna的一款移动银行应用遭遇数据泄露事件,导致广大客户陷入困境。该应用的用户短暂地看到了其他用户的账户信息,而非他们自己的。根据Klarna的披露,人为错误导致了这些信息以一种意外的方式被缓存。巧合的是,该事件就发生在Klarna获得6.39亿美元新投资后不久。

7. COVID Passport 应用暴露用户数据

在黑客利用新冠肺炎疫情实施攻击的另一个例子是,加拿大 COVID 疫苗接种护照移动应用 Portpass 未加密个人数据,并以明文形式存储,泄露了 650,000 名用户的个人数据,导致任何人都可以访问其网站上的个人资料。

8. CBP泄露数千万用户信息

在一项审计中发现, 美国海关与边境保护局( CBP )未能扫描 2016 年至 2019 年间发布的 91% 应用更新以检测漏洞。由于大量应用泄露了个人身份信息,导致 CBP 开发的 6 款移动护照控制应用泄露了多达 1000 万名旅客的个人数据。

9. Apple iMessage 中的零日漏洞影响了9亿台设备

作为 2021 年最大的移动应用数据泄露事件之一, Apple iMessage 中的一个零日漏洞,使 iPhone 、 iPad 、 Watches 和 MacBooks 的 9 亿活跃用户暴露于 NSO Group 间谍软件威胁之下,据悉 NSO 利用该漏洞监视政治活动家。

2022年 移动应用安全展望

通过上述安全事件,我们可以发现移动应用安全威胁主要来自于以下方面:

我们在 2021 年看到的这些移动应用安全事件,为企业造成了数十亿美元的收入损失、修复成本、品牌声誉受损等。这些惨痛的经验教训告诉我们,大多数移动应用安全事件是由相同的漏洞、不安全的编码实践,以及缺乏足够的安全测试造成的。

2022 年,这类违规行为将持续存在,威胁还将继续,企业安全团队需要在整个软件开发生命周期中加强对应用的测试,更快地发现漏洞,同时监控部署的所有移动应用,以显著降低 2022 年发生重大移动应用安全事件的几率。企业可以通过动态移动应用安全测试、对移动开发人员的更好培训以及更加重视移动应用安全来避免发生这类事件。

参考链接:https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯