Anonim
PC Mag

Vi bad experterna om penetrationstest på Security Compass att analysera några appar som nyligen har granskats här på PCMag. Teamet tittade på företagets rykte, behörigheter som appen begärde och hur appen hanterade autentisering, lokal datalagring, sessionhantering och exponerade tjänster. Vi stannade hos etablerade och välkända utvecklare och appar för den här övningen och lärde oss en hel del saker.

Säkerhetskompass utvärderade sms-appen SnapChat, socialt nätverksverktyg Swarm, finansiell tracker Mint och säkerhetsprogramvara Bitdefender Anti-Theft.

Tänk på att mobilappar för närvarande handlar för bekvämlighet för säkerhet. Gräva alltid igenom inställningarna - standardvärdena är inte alltid de säkraste inställningarna. Var skeptisk till stora löften eftersom appar kanske inte levererar dem. Och slutligen, ta inte säkerhetskrav till nominellt värde.

Mint Never Times Out?
Sessionhantering är något de flesta utvecklare oroar sig bara för när de arbetar med finansiella appar. Bankapplikationer ställer i allmänhet sessionstiden mellan 5 till 15 minuter och loggar ut användaren efter en period av inaktivitet. På det sättet, om enheten går förlorad eller stulen, förblir de ekonomiska uppgifterna på appen säkra när användaren loggar ut. För andra appar bryr sig utvecklarna i allmänhet inte. Swarm och Snapchat faller i denna kategori, där användaren förblir inloggad för alltid.

When is Security Good Enough?
Security Compass found that Bitdefender Anti-Theft stores the email address and password associated with the user' s Bitdefender Account, along with the PIN for Bitdefender Anti-Theft, as unsalted MD5 hashes. The MD5 hashing algorithm is vulnerable to a number of attacks, so it's surprising Bitdefender>

Autentisering och apphantering är webbaserad med webbplatsen my.bitdefender.com. Medan Bitdefender tvingar användare att skapa ett lösenord med sex tecken eller längre, accepterar det svaga sådana som '123456', säger Security Compass. Det finns utrymme för förbättring av lösenordspolicyn, men det är inte specifikt för appen.

SnapChat ber om många tillstånd
Vi pratar om problemet med Android-behörigheter, så vad hittade Security Compass? Bitdefender Anti-Theft gör mer än 20 behörighetsförfrågningar, och SnapChat har 15. Bitdefender Anti-Theft håller reda på många saker på enheten, så det är vettigt att den har en lång lista med behörigheter. För en app för socialt nätverk känns det överdrivet och riskabelt.

"Eftersom applikationen använder ett antal behörigheter på enheten, om applikationen äventyras av en annan skadlig applikation, kan dess tillstånd missbrukas av den skadliga applikationen, " varnade Security Compass. Om appen någonsin komprometteras av en falsk app är användardata inte det enda som påverkas. Det faktum att den falska appen kan få tillbaka appens behörigheter att få åtkomst till andra enhetsprocesser och "få en effektiv rot på enheten", är en risk, säger Security Compass. Om det här var en ficklampa-app, bör det inte tveka - avinstallera. För Bitdefender Anti-Theft är listan meningsfull, så användare måste tänka igenom implikationerna.

"Användare av den här applikationen måste noggrant väga risken för att inte använda den här applikationen och att din enhet går förlorad eller stulen mot risken för att själva applikationen äventyras med betydande räckvidd i enheten", säger Security Compass. Jag tror att det är säkert att anta att de flesta kommer att välja att ha appen.

Intressant nog begär Mint bara 10 olika behörigheter. "När det gäller bankapplikationer är denna tillståndslista ganska liten", konstaterade Security Compass.

Storslagen anspråk
En bedömning är inte bara att öppna appen och titta på koden. Security Compass tittade på flera faktorer, inklusive företagets rykte och hur appen interagerade med andra webbplatser. Till exempel granskade forskarna hur SnapChat lagrade filer på enhetens lokala lagring på grund av företagets rykte för fruktansvärd säkerhet och tidigare misstag i detta område. "Ur ett övergripande perspektiv har företaget kränkt förtroendeförhållandet mellan sig själv och sina användare och det bör inte lita på att hantera användardata korrekt i framtiden, " skrev forskarna.

Utvecklare måste fatta bättre designbeslut, och användare måste balansera användarvänlighet och säkerhet och vara villiga att hoppa igenom några få bågar för att vara säkra.