- Los ataques advirtiendo que el informe puede interrumpir las llamadas de API en los dispositivos iOS y mostrarlos como válidos
- El equipo de seguridad convencional no pudo proteger las aplicaciones contra los ataques de dispositivos
- Los dispositivos móviles comprometidos aumentan el riesgo de absorción de API significativamente
Una nueva investigación de Gymperium ha afirmado que las aplicaciones móviles son ahora el campo de batalla inicial para los ataques basados en API, crea un riesgo grave de fraude y robo de datos para la iniciativa.
El estudio muestra más de 3 aplicaciones de Android y más de la mitad de las aplicaciones iOS filtradas, proporcionando acceso directo al sistema crítico empresarial de los invasores.
Los informes más preocupantes afirman que tres de cada mil dispositivos móviles han sido infectados con infectados regionales, de los cuales 1 de los cuales los dispositivos Android enfrentan malware en la naturaleza.
La escala de la debilidad de la API móvil
A diferencia de las aplicaciones web, las aplicaciones móviles llaman a la lógica en puntos finales de API y dispositivos increíbles, revelan su potencial manipulación y ingeniería inversa.
Permite a los atacantes evitar el tráfico, corregir la aplicación y hacer que las llamadas de API contaminadas sean válidas.
Esta aplicación no puede proteger por completo contra la amenaza de la defensa tradicional como la validez del firewall, la puerta de enlace, el poder y la clave API.
“API no solo electricidad a aplicaciones móviles, lo revelan”, dijo el vicepresidente de productos de resolución de productos de Gymnapperium.
“El equipo de protección definido tradicional no puede detener el ataque en sí mismo dentro de la aplicación. Ahora la protección de las API ahora es necesaria para proteger la aplicación que protege la dirección del cliente”.
La manipulación del cliente es común, porque los atacantes pueden interrumpir y cambiar las llamadas API antes de llegar al sistema de retroceso.
Incluso la fijación de SSL, los ataques de hombre en la mida están diseñados para evitar ataques, tiene brechas: 3 aplicaciones de finanzas de Android y 1 de cada 5 aplicaciones de viaje iOS siguen siendo débiles.
Más allá de la exposición a la API, muchas aplicaciones mezclan datos confidenciales sobre dispositivos, ya que el registro de la consola de Gymperium, el almacenamiento externo y el almacenamiento local inseguro han revelado problemas comunes.
Por ejemplo, el 6% de las 100 mejores aplicaciones de Android ingresan a los registros de información identificada personalmente (PII) y el 4% la escribe en el almacenamiento externo accesible por otras aplicaciones.
Incluso el almacenamiento local, aunque no compartido, puede ser responsable si un atacante gana acceso al dispositivo.
Aproximadamente un tercio de todas las aplicaciones (31%) en el análisis y el 37% de los 100 principales envían PII a servidores remotos, a menudo sin el cifrado adecuado.
Algunas aplicaciones incluyen SDS capaces de explicar en secreto datos, grabación de interacción del usuario, captura de posiciones GPS y información de transmisión a servidores externos.
Estas actividades ocultas aumentan la exposición empresarial y muestran que incluso las aplicaciones oficiales de tiendas pueden pagar mayores riesgos de seguridad.
“Dado que las aplicaciones móviles continúan realizando actividades comerciales y experiencias digitales, es importante asegurar las API del interior para evitar fraude, robo de datos e interrupción del servicio”, agregó Vishnubotla.
Cómo permanecer seguro
- Visite aplicaciones para obtener la sesión inapropiada de información confidencial para evitar la fuga de datos.
- Verifique que el almacenamiento de datos local haya sido encriptado y no sea accesible por otras aplicaciones.
- Información personal encriptada que envía aplicaciones para identificar el tráfico de red para identificar.
- Identifique y elimine los componentes contaminados de SDK o tercera parte que están integradas en aplicaciones.
- Revise los permisos de la aplicación para garantizar que estén integrados con el propósito del propósito.
- Realice un monitoreo regular de los comportamientos de la aplicación para una posible debilidad de violación.
- Aplicar la protección de la hora Run para evitar la manipulación o la ingeniería opuesta de las aplicaciones.
- Use el recurso de código para proteger los argumentos comerciales y los puntos finales de la API de los atacantes.
- Verifique que las llamadas API simplemente provengan de aplicaciones válidas y descubiertas.
- Establecer un método de respuesta en caso de un compromiso de la aplicación móvil.
- Use un software de seguridad móvil que proteja contra los ataques de malware y ropa de ransa.
