A múlt héten a viaForensics a kifejezetten mobil alkalmazások tesztelésére kifejlesztett megoldásával vette górcső alá a PayPal iPhone és Android készülékeken futtatható programjainak biztonságát. A szakemberek négy kategóriában vizsgálták a szoftvert:
- az alkalmazás által letöltött, generált adatok biztonságos tárolása
- a jelszavak biztonságos tárolása
- a felhasználónevek biztonságos tárolása
- egyéb védelmi tesztek.
E négy kategóriában az Android kompatibilis alkalmazás minden szempontból megfelelt, és hiba nélkül teljesítette a tesztet. Az iPhone-on használható verzió azonban a november 3-ai vizsgálatok alkalmával két szempontból is elvérzett. Ugyanis sem a felhasználóneveket, sem az alkalmazásadatokat nem tárolta titkosított módon.
"Amikor az adatok nem biztonságosan kerülnek tárolásra a telefonon, akkor minden pénzügyi információ, amely korábban a készülékre letöltésre került, visszaállítható, és megtekinthető anélkül, hogy fel kellene törni a felhasználói fiókokat" - vélekedtek a viaForensics szakemberei.
A Wall Street Journal úgy tudja, hogy a PayPal iPhone kompatibilis alkalmazásával kapcsolatban még egy sérülékenységre is fény derült, amely man-in-the-middle alapú támadásokat tehetett lehetővé. A szoftver ugyanis nem ellenőrizte megfelelő módon a digitális tanúsítványokat, ezért a támadók meghamisított weboldalak révén felhasználóneveket és jelszavakat szerezhettek meg.
A PayPal már kiadta az iPhone alkalmazásának legújabb verzióját, amellyel orvosolta a feltárt rendellenességeket. A cég a felhasználók számára a szoftver minél előbbi frissítését javasolta.
Szemléletváltásra van szükség
A PayPal esete számos szakértőt arra késztetett, hogy megossza a véleményét a mobil alkalmazások biztonságával kapcsolatban. Elsőként Richard Wang, a Sophos kutatója szólalt fel, aki elmondta, hogy "A mobil eszközökben nem lehet megbízni, hiszen bármikor elveszhetnek, vagy bármikor ellophatják azokat. Úgy gondolom, hogy a mostani eset azt mutatja, hogy a mobil alkalmazások fejlesztői közül sokan nem rendelkeznek kellő tapasztalattal a biztonság kezelését illetően. A PC esetében a fenyegetettségek előbb jelentkeztek, mint ahogy az online bankolás elterjedt volna, így a fejlesztőknek már a kezdetek óta be kellett építeniük a védelmet ezekbe az alkalmazásokba. A felhasználónevek és jelszavak titkosítatlan tárolása azonban egy ostoba hiba."
Dan Cornell, a Denim Group műszaki igazgatója úgy látja, hogy a mobil és a webes alkalmazások fejlesztése között óriási különbségek vannak. Szerinte a legjelentősebb differencia az, hogy a webes megoldások többnyire a szerveroldalon tárolják, kezelik az adatokat, míg sok mobil alkalmazás a kelleténél több információt ment le a hordozható készülékekre. Ez pedig jelentős kockázatot jelent, különösen akkor, ha még titkosítás sem védi az adatokat.
Több szakértő is azt hangsúlyozza, hogy a biztonságnak komoly szerepet kell szentelni a mobil alkalmazások tervezésekor és fejlesztésekor. A fejlesztésekbe pedig olyan biztonsági szakembereket is be kell vonni, akik a mobil fenyegetettségekkel és azok kezelési módjával pontosan tisztában vannak. Az is fontos cél, hogy a mobil készülékeken a lehető legkevesebb bizalmas adat kerüljön tárolásra, miközben a titkosításra valamint a szerverekkel való kommunikáció biztonságára komoly figyelmet kell szentelni. Ugyanakkor azt is fontos szem előtt tartani, hogy napjainkban az asztali számítógépek többségét vírusvédelmi szoftverek és tűzfalak oltalmazzák, míg ezek a védelmi szoftverek a mobilok esetében még korántsem elterjedtek. Ezért a mobil alkalmazásoknak önmagukban is helyt kell tudniuk állni a támadásokkal szemben.
A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
