调查:40%移动程序未能通过安全测试
2012-01-02 21:57
225 查看
数字监识与安全服务供应商viaForensics近日公布了一项针对iOS与Andoid平台百大移动程序的安全测试报告,显示只有17%的程序完全通过安全测试,高达40%未能通过,其余程序则取得了漏洞警告。以程序类别来区分,viaForensics所测试的金融程序所曝露的资料远比社交网络程序少,约有近75%的社交网络未能通过安全测试,但只有25%的金融程序没通过安全测试。没通过安全测试的生产力程序有43%,没通过安全测试的零售程序有14%。
虽然未通过安全测试的零售程序比例很低,然而,其余的零售程序都得到漏洞警告,没有任何零售程序完全通过该测试,归纳其主要原因来自于相关程序多半储存了搜索历史纪录与姓名及住址等客户资讯。
值得注意的是,知名的Groupon for Android未能通过测试的原因是可被取得密码,而非官方的Starbucks程序甚至可找出16个数字的信用卡号码。
viaForensics研究人员从76%的程序中找到使用者名称,从69%的程序中发现应用程序数据,从10%的程序中找出密码。根据该公司的说明,即使多数人不认为使用者名称为机密资讯,但使用者名称的确是资料非常重要的一部份,很多系统都只需要使用者名称与密码,取得使用者名称后,便解决了50%的问题。目前只有少数的移动应用程序会保护使用者名称。
而69%的应用程序不是未通过应用程序数据的测试就是得到警告,代表诸如私密通讯、个人信息或帐户号码有外泄的可能性,那些未通过测试的则是以清楚的文字呈现上述内容。
研究人员则在10%的应用程序中发现以清楚文字所储存的密码,是此一研究中最能对使用者安全造成直接威胁的发现。
viaForensics认为,根据此一研究结果,若使用者遗失的手机落到心怀不轨的人手上,可能带来身份或金融窃盗的威胁,若黑客能够取得一组密码,再加上多个使用者密码,就可对不同帐号采用同一密码的使用者造成巨大的威胁。
移动应用程序的安全性尚未受到足够的重视,一名昵称为CyFi的10岁女童在本月举办的首届DEFCON Kids黑客会议中展示她如何破解农场游戏,CyFi即利用程序中的漏洞加速游戏时间进行,让农作物快速成长。
虽然未通过安全测试的零售程序比例很低,然而,其余的零售程序都得到漏洞警告,没有任何零售程序完全通过该测试,归纳其主要原因来自于相关程序多半储存了搜索历史纪录与姓名及住址等客户资讯。
值得注意的是,知名的Groupon for Android未能通过测试的原因是可被取得密码,而非官方的Starbucks程序甚至可找出16个数字的信用卡号码。
viaForensics研究人员从76%的程序中找到使用者名称,从69%的程序中发现应用程序数据,从10%的程序中找出密码。根据该公司的说明,即使多数人不认为使用者名称为机密资讯,但使用者名称的确是资料非常重要的一部份,很多系统都只需要使用者名称与密码,取得使用者名称后,便解决了50%的问题。目前只有少数的移动应用程序会保护使用者名称。
而69%的应用程序不是未通过应用程序数据的测试就是得到警告,代表诸如私密通讯、个人信息或帐户号码有外泄的可能性,那些未通过测试的则是以清楚的文字呈现上述内容。
研究人员则在10%的应用程序中发现以清楚文字所储存的密码,是此一研究中最能对使用者安全造成直接威胁的发现。
viaForensics认为,根据此一研究结果,若使用者遗失的手机落到心怀不轨的人手上,可能带来身份或金融窃盗的威胁,若黑客能够取得一组密码,再加上多个使用者密码,就可对不同帐号采用同一密码的使用者造成巨大的威胁。
移动应用程序的安全性尚未受到足够的重视,一名昵称为CyFi的10岁女童在本月举办的首届DEFCON Kids黑客会议中展示她如何破解农场游戏,CyFi即利用程序中的漏洞加速游戏时间进行,让农作物快速成长。
相关文章推荐
- 近六成的软件未能通过第一轮安全测试
- 【C#】对异步请求处理程序IHttpAsyncHandler的理解和分享一个易用性封装 【手记】走近科学之为什么明明实现了IEnumerable<T>的类型却不能调用LINQ扩展方法 【手记】手机网页弹出层后屏蔽底层的滑动响应 【手记】ASP.NET提示“未能创建类型”处理 【Web】一个非常简单的移动web消息框 【手记】解决EXCEL跑SQL遇“查询无法运行或数据库表无法打开...”
- linux下通过编写测试程序的方式来确认arm-linux-gnueabihf-gcc-4.6lib和.h文件的安装位置,为复制libnl做准备
- 如何让你的程序安全通过windows防火墙
- 【移动安全】Android 测试工具Monkey介绍
- 测试时钟显示程序通过, 点阵显示 碰到一些困难 发现调试比写代码更纠结。代码没错 烧到板子里就是打不到想要的现象
- 招聘移动APP、接口、自动化、性能和安全方面的兼职测试讲师
- 移动APP安全在渗透测试中的应用
- PDA移动POS终端系统,实现专柜或店铺的收货、零售、盘点通过无线网络直接连接总部中央数据库,实现高效安全的移动供应链管理
- VB100八月测试:Vista成众安全厂商梦魇 国内仅可牛通过测试
- Web入侵安全测试与对策学习笔记之(二)——获取目标信息之其他人留下的漏洞—样例程序的缺陷
- 十大免费移动程序测试框架(Android/iOS)
- 安卓系统机顶盒中如何自由移动程序的焦点(没测试过)
- 微信小程序 需要测试帐号 审核不通过的解决办法
- 第一个Hibernate 程序终于测试通过了
- 微信小程序获取openid,api.weixin.qq.com不能设为安全域名,通过php转发
- [Phonegap+Sencha Touch] 移动开发18 Sencha Touch项目通过phonegap打包后的程序名字的问题
- 十大免费移动程序测试框架(Android/iOS)
- 通过三要素保证ASP程序的基本安全
- iOS应用程序安全(1)-搭建移动渗透测试平台