在近几年,功能日益强大的智能手机和其他移动设备开始进入企业环境,安全专家经常担心移动恶意软件也会随之增加,正如十多年前在电脑领域所看到的那样。但根据最新的报告显示,这种担忧在很大程度上不切实际,因为移动应用的数据收集对企业和用户构成更大的威胁。
应用分析供应商Appthority在本月发布的关于移动应用信誉的报告中,详细介绍了Android和iOS移动平台中目前前100名免费应用和前100名付费应用的数据收集情况。Appthority公司通过在测试环境中对所有400个应用运行静态、动态和行为应用分析来收集了报告中的这些数据。
在Google Play应用商店的前100位免费Android应用中,80%会收集唯一设备标识符(UDID)或者IMEI,而82%的应用会进行某种形式的定位跟踪,另外30%访问用户的地址簿。虽然苹果经常吹捧iOS是比Android更安全的注重隐私的平台,但Appthority的统计数据并没有显示出这一点。在App Store的前100位免费应用中,超过一半的应用涉及相同的UDID和位置跟踪,26%还访问用户的地址簿。
该公司发现,即使是付费应用,数据收集也很普遍。例如,在前100位付费Android应用中,65%使用UDID信息,49%收集位置数据,还有14%访问地址簿。而在iOS方面,28%使用UDIF,24%收集位置数据,8%访问地址簿。
相比较而言,在分析的400款应用中,Appthority并没有找到一个移动恶意软件的实例。该公司指出,只有4%的应用包含恶意软件,因为评估会对进入iOS App Store的所有应用执行严格的手动安全审查过程,而谷歌也使用各种技术来扫描Google Play应用中的恶意软件。
“大家都知道移动恶意软件,”Appthority总裁Domingo Guerra在接受采访时表示,“但不是每个人都知道这些其他问题。”
数据收集的风险
Guerra表示,移动应用的数据收集会给企业和用户带来很多风险,这些风险可能最初不是很明显。例如,如果用户同步其企业Outlook账户到个人智能手机,该设备可能可以访问企业地址簿,其中包含很多重要客户的联系方式。如果收集这种地址簿信息的应用受到攻击,攻击者就可以利用这些信息来发送垃圾邮件到这些联系人,收集敏感企业来点的拨入详细信息,读取日历中的附件等。
除政府之外,大多数企业并没有非常担心位置追踪数据,但如果攻击者可以获取关键管理人员的位置,他们可能会利用这些信息,根据到有关企业的访问来预测合并或收购消息。Guerra还提到了一个著名事件,美国士兵在Twitter上分享了自己到达伊拉克基地的照片,该照片通过地理标记包含地理位置的详细信息,这导致叛乱分子对美军基地发动炮弹攻击,摧毁了基地的直升机。
虽然移动应用的这些行为值得我们关注,但Guerra表示,另外一个同样大的风险来自于这些所收集的数据的最终目的地:广告网络。该报告发现,在免费的应用中,73%的Android应用和32%的iOS应用允许广告网络收集数据。即使是在付费应用中,仍然有38%的Android应用和16%的iOS应用传送数据到广告网络,在这种情况下,用户甚至可能不会意识到这种数据收集做法,这种做法属于开发者的网站上张贴的隐私政策之外。
移动广告网络的盛行带来很多风险,攻击者自己可以伪装成广告网络,直接搜集用户数据,破坏广告网络的软件开发工具包和渗透应用,或者干脆瞄准世界各地十几个广告网络存储的巨大的数据收集库。
“因此,从开发人员的角度来看,我们承载的数据越多,我们约有可能成为攻击目标,这正是广告网络的情况,”Guerra表示,“现在,大多数应用都有多个广告网络,这让情况变得更加严重,即使是开发人员本人可能都不知道所有这些数据去向哪里。从攻击者的角度来看,他们甚至不需要寻找最流行的广告网络,而是找到最薄弱的广告网络,就可以获取大量数据。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.
翻译
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
专访志翔科技伍桑海:“懂业务才能做安全”
志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……
-
云隐私:基础功能和值得关注的新兴技术
为了实现云隐私保护,您需要了解当前可用的选项和功能,以及了解正在开发的未来的新技术……