Nicolai Busekist
Forskning fra Zimperium hævder, at apps er den primære kampplads for API-baserede angreb, hvilket skaber alvorlige risici for svindel og datatyveri.
Forskningen viser, at 1 ud af 3 Android-apps og mere end halvdelen af iOS-apps lækker følsomme data, hvilket giver hackere og andre kriminelle direkte adgang til forretningskritiske systemer.
Endnu mere bekymrende er det, at rapporten hævder, at tre ud af hver 1.000 mobile enheder allerede er inficeret, og at 1 ud af 5 Android-enheder møder malware i det fri.
I modsætning til webapplikationer sender mobile apps såkaldte API-endpoints og kaldelogik til utroværdige enheder, hvilket gør dem udsatte for manipulation og reverse engineering.
Dette gør det ifølge TechRadar muligt for hackere at opsnappe trafik, ændre appen og få ondsindede API-kald til at fremstå som legitime. Traditionelle forsvar som firewalls, gateways, proxies og API-validering kan ikke fuldt ud beskytte mod disse trusler inde i apps.
“API’er driver ikke kun mobile apps – de udsætter dem,” sagde Krishna Vishnubhotla, vicepræsident for produktløsninger hos Zimperium.
“Traditionelle sikkerhedsværktøjer kan ikke stoppe angreb, der sker inde i selve appen. Beskyttelse af API’er kræver indbyggede forsvar, der sikrer klientsiden.”
Manipulation på klientsiden er almindeligt, da hackere kan opsnappe og ændre API-kald, før de når backend-systemerne. Selv SSL-pinning, der er designet til at forhindre man-in-the-middle-angreb, har huller: næsten 1 ud af 3 Android-finansapps og 1 ud af 5 iOS-rejseapps er fortsat sårbare.
Ud over API-eksponering håndterer mange apps følsomme data forkert på enheder. Zimperium afslørede, at console logging, ekstern lagring og usikker lokal lagring er blandt de mest udbredte problemer.
For eksempel skriver 6 % af de 100 største Android-apps personhenførbare oplysninger (PII) til konsollogs, og 4 % skriver dem til ekstern lagring, der kan tilgås af andre apps. Selv lokal lagring, som ikke deles, kan blive en risiko, hvis en hacker får adgang til enheden.
Analysen viser desuden, at næsten en tredjedel (31 %) af alle apps og 37 % af de 100 største sender PII til eksterne servere – og ofte uden ordentlig kryptering.
Nogle apps bruger SDK’er, der i hemmelighed kan udtrække data, registrere brugerinteraktioner, indsamle GPS-placeringer og sende information til eksterne servere. Disse skjulte aktiviteter øger virksomheders udsathed og viser, at apps fra officielle butikker kan indebære store sikkerhedsrisici.
“Efterhånden som mobile apps fortsat driver forretningsdrift og digitale oplevelser, er det afgørende at sikre API’er indefra og ud for at forhindre svindel, datatyveri og serviceafbrydelser,” tilføjede Vishnubhotla.
