작년에 세계가 세간의 이목을 끄는 공급망 공격에 집중하는 동안 모바일 애플리케이션이라는 또 다른 영역이 포위되었습니다. 200년에 2020억 건 이상의 다운로드가 발생한 모바일 애플리케이션은 복잡한 공격 표면을 나타냅니다. 놀라운 일이 아니다. 기업 XNUMX곳 중 XNUMX곳 Verizon에서 설문 조사한 모바일 또는 사물 인터넷 데이터 유출 사고.
2021년의 주요 모바일 데이터 유출을 되돌아보면 올해 우리가 무엇을 기대할 수 있는지 알 수 있습니다. Amazon Ring 및 Slack과 같은 거대 기업에서 미국 관세국경보호청(CBP)에 이르기까지 헤드라인을 장식한 모바일 앱 침해 사례가 있습니다.
Amazon Ring 앱에서 데이터 유출
지난 XNUMX월, Amazon Ring Neighbors 앱의 보안 결함 정확한 위치와 주소가 유출되었습니다. 앱에 게시한 사용자 수 사용자 게시물은 공개되지만 앱은 일반적으로 정확한 위치를 공개하지 않습니다. 이 버그는 앱 사용자에게 데이터를 표시하지 않고 사용자의 위도, 경도, 집 주소를 포함하여 숨겨진 데이터를 수집했습니다. Ring IoT 초인종 및 감시 카메라가 도입된 이후로 보안 문제가 발생했음에도 불구하고 Ring Neighbors 앱은 10 만명 2020 인치
Slack 모바일 앱이 사용자 자격 증명을 노출합니다.
인기 있는 팀 협업 도구인 Slack은 작년에 아이디어 이상을 공유했습니다. 지난 XNUMX월 보고된 바와 같이, Android 모바일 앱의 버그로 인해 기기에 일반 텍스트 사용자 자격 증명이 기록되었습니다. 영향을 받는 고객은 비밀번호를 재설정하고 앱 데이터 로그를 지우도록 요청받았습니다. Slack은 그 이상을 자랑합니다. 12 만 일일 사용자.
원격 코드 실행에 취약한 SHAREit 파일 공유 앱
월, ZDNet보고 1억 건 이상의 다운로드가 있는 Android 파일 공유 앱의 취약점이 XNUMX개월 동안 패치되지 않은 상태였습니다. SHAREit 앱 개발자는 스마트폰에서 악성 코드를 실행하는 데 악용될 수 있는 버그를 놓쳤습니다. SHAREit은 마침내 취약점을 패치했지만 수백만 명이 코드를 공유하기 전에는 그렇지 않았습니다.
13 안드로이드 앱 수백만 사용자의 데이터 유출
모바일 앱 개발자가 통신 보안에 실패하면 어떻게 됩니까? 혹시 가장 큰 모바일 침해 보고서 중 하나 2021월에 Check Point Research는 13개의 인기 있는 Android 앱이 최대 100억 명의 사용자 데이터를 노출했다고 보고했습니다. 개발자는 전자 메일, 채팅 메시지, 암호 및 사진을 포함한 개인 데이터를 노출하여 타사 클라우드 서비스를 보호하지 못했습니다.
21만 사용자에게 영향을 미치는 ParkMobile 침해
올해 KrebsOnSecurity 암시장에서 판매되는 주차 앱의 최대 21만 사용자 계정 정보를 찾았습니다. ParkMobile의 개발자는 타사 소프트웨어가 고객 이메일 주소, 전화번호, 자동차 번호판을 포함한 개인 데이터를 유출했다는 사실을 발견했습니다. ParkMobile은 이제 집단 소송
사용자 데이터를 노출하기 위해.
Klarna 결제 앱이 사용자 잔액을 노출합니다.
XNUMX월에는 Klarna의 모바일 뱅킹 앱이 보안 침해를 당하여 광범위한 고객 혼란을 일으켰습니다. 앱 사용자는 자신의 계정 정보가 아닌 다른 사용자의 계정 정보를 간략하게 보았습니다. 당 클라나 공개, 인적 오류로 인해 정보가 의도하지 않은 방식으로 캐시되었습니다. 이 사건은 Klarna가 639억 XNUMX만 달러의 신규 투자를 받은 직후 발생했습니다.
사용자를 노출시키는 COVID Passport 앱
다른 예에서 전염병을 이용하는 해커, 캐나다 개인 코로나 백신 접종 여권 모바일 앱인 포트패스(Portpass)가 650,000만 명의 사용자 개인정보를 노출했다. 누구나 웹사이트의 프로필에 액세스할 수 있었고 모바일 앱은 개인 데이터를 암호화하지 않고 일반 텍스트로 저장했습니다.
새는 앱은 새는 테두리를 만듭니다.
미국 CBP에서 만든 XNUMX개의 모바일 여권 관리 애플리케이션 최대 10만 여행자의 개인 데이터 노출 앱이 개인 식별 정보를 유출했을 때. 감사 결과 CBP가 91년과 2016년 사이에 발표된 애플리케이션 업데이트의 2019%를 스캔하여 취약점을 감지하지 못한 것으로 나타났습니다.
Apple iMessage의 제로데이가 900억 대의 기기에 영향을 미침
중 하나에서 올해의 최대 모바일 침해, Apple은 iMessage의 모든 것을 노출시킨 제로데이 결함을 수정했습니다. 백만 명의 활성 사용자 900 명 NSO 그룹의 스파이웨어에 대한 iPhone, iPad, Watches 및 MacBook. NSO는 이 취약점을 악용하여 정치 활동가를 염탐했습니다.
평범한 용의자
올해 가장 큰 침해 사고 중 상당수는 해마다 동일한 취약점에서 발생했습니다. 대부분은 동적 모바일 애플리케이션 보안 테스트, 모바일 개발자를 위한 더 나은 교육, 모바일 애플리케이션 보안을 더 진지하게 받아들이려는 의지로 막을 수 있었습니다. 의 사이에 일반적인 용의자:
- 안전하지 않은 코드 공격자가 액세스하거나 제어할 수 있도록 합니다. iMessage의 경우와 마찬가지로 결함이 있는 코드는 공격자가 기기의 모든 항목에 액세스할 수 있도록 합니다.
- 안전하지 않은 네트워크 구성 모바일 앱과 서버 사이를 통해 해커가 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있습니다.
- 장치의 안전하지 않은 저장 악의적인 사용자 또는 맬웨어가 민감한 데이터 저장소를 검사할 수 있습니다.
- 데이터를 유출하는 앱, Amazon Ring Neighbors App 위반과 마찬가지로 부적절한 코딩으로 인해 발생하므로 더 나은 테스트가 필요합니다.
- 안전하지 않은 구성은 네트워크를 통해 데이터를 누출합니다. 모바일 앱, 이동통신사 및 서버 간의 통신은 복잡한 공격 표면을 생성하기 때문입니다.
- 민감한 데이터의 안전하지 않은 보호, Klarna 침해와 마찬가지로 모바일 앱이 암호 및 신용 카드 정보와 같은 민감한 데이터를 일반 텍스트로 노출시킨다는 것을 의미합니다.
올해 다음은 무엇입니까?
2021년에 발생한 것과 같은 모바일 침해 사고로 인해 기업은 수십억 달러의 수익 손실, 수정 비용, 브랜드 평판 손상 등의 손실을 입었습니다. 불행히도 이러한 유형의 침해는 2022년 내내 계속될 것입니다.
이러한 고통의 대부분은 우리 자신의 안전하지 않은 코딩 관행과 적절한 테스트의 부족으로 인해 자초될 것입니다. 보안 팀은 소프트웨어 개발 수명 주기 전반에 걸쳐 앱을 테스트하고 결함을 더 빨리 포착하는 동시에 프로덕션의 모든 모바일 앱을 모니터링하여 내년에 주요 모바일 앱 침해 가능성을 크게 줄일 수 있습니다.
출처: https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches
