Krypto-aplikacje w tarapatach. 90% z nich wykorzystuje słabe zabezpieczenia
Według raportu bezpieczeństwa zdecydowana większość aplikacji z mobilnymi portfelami kryptowalutowymi opiera się na słabych zabezpieczeniach.
Tak wynika z nowych badań przeprowadzonych przez firmę High-Tech Bridge mieszczącą się w San Francisco. Analizie poddano ponad 2000 aplikacji w Google Play. Z pierwszych 30 aplikacji kryptograficznych zawierających do 100 000 instalacji ogółem 93% zawiera co najmniej trzy luki "średniego ryzyka", a 90% zawiera co najmniej dwa problemy "wysokiego ryzyka".
Wśród najczęściej pobieranych aplikacji liczby są niewiele lepsze. Aż 94% aplikacji z ponad 500 000 instalacji zawiera co najmniej trzy luki "średniego ryzyka", a 77% zawiera co najmniej dwie podatne na „wysokie ryzyko”.
Najczęstsze luki w zabezpieczeniach, według analizy, obejmują "niezabezpieczone przechowywanie danych", co oznacza, że informacje, które powinny być prywatne, mogą przypadkowo wyciekać. Inną ważną kwestą jest "niedostateczna kryptografia", która została zaimplementowana, aby chronić dane, niestety została użyta niepoprawnie.
W skrócie oznacza to, że użytkownicy mogą być zagrożeni.
"W zależności od funkcjonalności aplikacji, projektu i luk w zabezpieczeniach, możliwe jest szerokie spektrum uciążliwości, aż po wrażliwe dane, a nawet kradzież portfela (klucz prywatny). Niestety, nie jestem zaskoczony wynikami badań." - powiedział Ilia Kolochenko, CEO i założyciel High-Tech Bridge.
Kolochenko przypisuje słabe wyniki do braku nacisku na bezpieczeństwo w rozwoju mobilnym.
"Przez wiele lat firmy zajmujące się bezpieczeństwem cybernetycznym i niezależni eksperci zgłaszali deweloperom aplikacji mobilnych informacje o zagrożeniach związanych ze "sprytnym" rozwojem, który zazwyczaj nie oznacza braku ram dla zapewnienia bezpiecznego projektowania, bezpiecznego kodowania i technik hartowania lub testowania bezpieczeństwa aplikacji" - dodał.
Użytkownicy i programiści mogą korzystać z darmowego narzędzia do analizy bezpieczeństwa firmy Mobile X-Ray, aby podłączyć aplikacje mobilne i zobaczyć luki w zabezpieczeniach.
Jednakże, jeśli chodzi o zabezpieczenie funduszy, jest wiele rzeczy, które mogą pójść nie tak. Firma technologiczna sugeruje, że jej własne badania nie poszły wystarczająco daleko. Analizowali jedynie frontend aplikacji, a inne problemy mogą jeszcze występować w backendach.
źródło: coindesk.com