回顾：2021年度代表性移动应用安全事件

发布时间：2022-01-11 16:12:33来源：安全牛

2021年，当全世界的目光都聚焦在备受瞩目的供应链攻击时，却忽略了另一个岌岌可危的领域——移动应用。回顾2021年，移动应用安全事件频发：从AmazonRing和Slack等企业到美国海关和边境保护局（CBP），全球有接近四分之一的企业组织遭受过移动或物联网数据泄露。以下整理出2021年度移动应用代表性安全事件，供读者参考了解。

2021年移动应用安全事件

1.AmazonRingApp泄露用户数据

2021年1月，亚马逊（Amazon）旗下安全摄像Ring的应用Neighbors被曝出一个安全漏洞，泄露了该应用用户的准确位置和家庭地址。正常情况下，虽然用户的帖子是公开的，但通常不会显示用户姓名或确切位置。被曝出的这个漏洞从Ring服务器获取隐藏数据，包括用户的家庭住址。该漏洞使他人能够检索到该用户的位置数据，而使用Neighbors的用户却看不到这些暴露出来的数据。RingNeighbors应用在2020年就已拥有1000万用户，但围绕RingIoT门铃和监控摄像头的安全问题始终未能解决。Ring因为此次数据泄露事件而面临集体诉讼。

2.Slack移动应用公开用户凭证

据报道，2021年1月，Android移动应用Slack的一个安全漏洞记录了设备上的明文用户凭证。受影响的客户被要求重置密码，并擦除应用数据日志。Slack号称拥有超过1200万活跃用户，其影响之广可想而知。

3.SHAREit文件共享应用易受远程代码执行影响

据外媒报道称，2021年2月，一款下载量超过10亿次的Android文件共享应用SHAREit中的漏洞已超3个月未修复。SHAREit应用开发人员忽略了一个可在智能手机上运行恶意代码的漏洞。虽然SHAREit最终修复了该漏洞，但在此之前，该代码已被数百万人共享。

4.13款Android应用泄露数百万用户数据

CheckPointResearch报告称，2021年4月，13款流行的Android应用暴露了多达1亿用户的数据。开发人员未能保护第三方云服务，导致包括电子邮件、聊天信息、密码和照片在内的个人数据泄露。

5.ParkMobile数据泄露影响2100万用户

去年，KrebsOnSecurity在地下黑市发现停车应用（ParkMobile）多达2100万名用户的账户信息。随后ParkMobile开发人员发现第三方软件泄露了包括客户电子邮件地址、电话号码和车牌号在内的个人数据。ParkMobil也因此次泄露用户数据而面临集体诉讼。

6.Klarna支付应用暴露用户余额

2021年5月，Klarna的一款移动银行应用遭遇数据泄露事件，导致广大客户陷入困境。该应用的用户短暂地看到了其他用户的账户信息，而非他们自己的。根据Klarna的披露，人为错误导致了这些信息以一种意外的方式被缓存。巧合的是，该事件就发生在Klarna获得6.39亿美元新投资后不久。

7.COVIDPassport应用暴露用户数据

在黑客利用新冠肺炎疫情实施攻击的另一个例子是，加拿大COVID疫苗接种护照移动应用Portpass未加密个人数据，并以明文形式存储，泄露了650,000名用户的个人数据，导致任何人都可以访问其网站上的个人资料。

8.CBP泄露数千万用户信息

在一项审计中发现，美国海关与边境保护局（CBP）未能扫描2016年至2019年间发布的91%应用更新以检测漏洞。由于大量应用泄露了个人身份信息，导致CBP开发的6款移动护照控制应用泄露了多达1000万名旅客的个人数据。

9.AppleiMessage中的零日漏洞影响了9亿台设备

作为2021年最大的移动应用数据泄露事件之一，AppleiMessage中的一个零日漏洞，使iPhone、iPad、Watches和MacBooks的9亿活跃用户暴露于NSOGroup间谍软件威胁之下，据悉NSO利用该漏洞监视政治活动家。

2022年移动应用安全展望

通过上述安全事件，我们可以发现移动应用安全威胁主要来自于以下方面：

•不安全的代码允许攻击者访问或控制设备，例如iMessage的数据泄露事件表明，有缺陷的代码可以允许攻击者访问设备上的所有内容；

•移动应用和服务器间不安全的网络配置允许黑客进行中间人（man-in-the-middle）攻击；

•设备上的不安全存储允许恶意用户或恶意软件访问敏感数据；

•泄漏数据的应用（如AmazonRingNeighbors应用数据泄露事件）源自不正确的编码，这也揭示了代码安全测试的重要性；

•不安全的配置会通过网络泄漏数据，因为移动应用、运营商和服务器之间的通信会产生复杂的攻击面；

•对敏感数据的不当防护（如Klarna数据泄露事件）意味着移动应用会以明文形式暴露密码和信用卡等敏感数据。

我们在2021年看到的这些移动应用安全事件，为企业造成了数十亿美元的收入损失、修复成本、品牌声誉受损等。这些惨痛的经验教训告诉我们，大多数移动应用安全事件是由相同的漏洞、不安全的编码实践，以及缺乏足够的安全测试造成的。

2022年，这类违规行为将持续存在，威胁还将继续，企业安全团队需要在整个软件开发生命周期中加强对应用的测试，更快地发现漏洞，同时监控部署的所有移动应用，以显著降低2022年发生重大移动应用安全事件的几率。企业可以通过动态移动应用安全测试、对移动开发人员的更好培训以及更加重视移动应用安全来避免发生这类事件。

参考链接：

https://www.darkreading.com/application-security/mobile-application-security-2021-s-breaches

相关阅读

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com