Tiga dari empat aplikasi seluler mengandung setidaknya satu kerentanan

frustrasi aplikasi

Karena internet semakin banyak diakses dari perangkat seluler, aplikasi seluler perlu dipertimbangkan sebagai bagian dari strategi keamanan perusahaan.

Sebuah laporan baru dari BitSight menemukan bahwa tiga dari empat aplikasi seluler yang dievaluasi mengandung setidaknya satu kerentanan sedang. Itu juga menemukan kerentanan material dan parah di beberapa aplikasi populer.

Yang juga mengkhawatirkan adalah bahwa beberapa dari materi ini dan kerentanan parah dapat diatasi setelah aplikasi dalam produksi.

Masalah yang diidentifikasi dalam laporan termasuk aplikasi belanja Android, yang mengirimkan informasi pengenal pribadi (PII) dan detail keuangan sensitif lainnya, berkinerja buruk dalam validasi sertifikat TLS untuk data sensitif. Kebocoran data GPS juga menjadi masalah di berbagai sektor dan genre aplikasi seluler termasuk kedirgantaraan dan pertahanan.

Pada bulan September, peneliti keamanan menemukan bahwa 14 aplikasi Android teratas, yang diunduh oleh lebih dari 140 juta orang secara total, membocorkan data pengguna karena kesalahan konfigurasi di platform pengembangan aplikasi Firebase. Data yang terpapar berpotensi mencakup nama pengguna, email, nama pengguna, dan PII lainnya.

“Aplikasi seluler telah mendorong sebagian besar aktivitas digital saat ini dan itu hanya akan meningkat di masa depan. 5G, peningkatan kerja dari rumah, dan ketersediaan perangkat seluler yang terus meningkat telah memastikan bahwa penjahat cyber akan mencari jalan ke perangkat seluler. aplikasi untuk melakukan serangan,” kata Stephen Boyer, pendiri dan CTO BitSight. “Untuk alasan ini, sangat penting bagi organisasi untuk memahami risiko yang terkait dengan aplikasi seluler yang dibuat sendiri dan yang diterbitkan oleh pihak ketiga.”

Di antara temuannya adalah bahwa aplikasi Android untuk berita adalah yang paling mungkin rentan terhadap eksekusi kode arbitrer. Data pelacakan GPS yang bocor melalui HTTP bisa menjadi masalah serius bagi beberapa aplikasi sosial di Android. Juga kebocoran Apple AdID melalui HTTP di aplikasi berita iOS jauh lebih umum daripada aplikasi di genre lain.

“Integrasi evaluasi keamanan sebagai bagian berkelanjutan dari siklus pengembangan dan rilis untuk semua aplikasi seluler adalah investasi yang harus dilakukan penerbit aplikasi dalam merek mereka,” kata Abdullah Al Rashid, ilmuwan data senior di BitSight. “Pengembang tidak dapat lagi melakukan keamanan hingga menit terakhir atau bahkan setelah aplikasi dirilis. Memprioritaskan keamanan aplikasi seluler menjadi penting untuk bersaing di pasar saat ini.”

Laporan lengkap tersedia dari BitSight.

Kredit Gambar: romankosolapov / depositphotos.com

Author: Martha Meyer