Leszerepeltek a tőzsdés appok
Nem muzsikáltak fényesen a legnépszerűbb tőzsdei mobil alkalmazások a biztonsági teszteken. Van még mit tenniük a fejlesztőknek.Az IOActive biztonsági cég kutatói, köztük Alejandro Hernández szakértő a legutóbbi vizsgálatok során annak jártak utána, hogy a sok érzékeny adatot kezelő, amerikai tőzsdei alkalmazások miként állják a sarat napjaink fenyegetettségeivel szemben. Sajnos a tesztek azt támasztották alá, hogy jó néhány app sok sebből vérzik. Ráadásul meglehetősen alapvető biztonsági hiányoságokra is fény derült, amik tovább rontják az összképet.
A szakemberek a teszteket egy nem jailbreakelt iPhone 6 (iOS 10.3.3) készüléken, valamint egy rootolt és emulált Android 7.1.1 operációs rendszeren végezték el tizenkilenc app bevonásával. Egyet azonban nem voltak hajlandók elárulni. Mégpedig azt, hogy a vizsgálatokba mely alkalmazásokat vonták be. Mindössze annyit közöltek, hogy a legbiztonságosabb app egy olyan brókercéghez kötődik, amelynél néhány évvel ezelőtt súlyos biztonsági incidens történt. Vagyis erről a meg nem nevezett vállalatról elmondható, hogy tanult a korábbi történésekből, és valóban adott a biztonságra a mobil platformokon is.
A tesztelt szoftverek 19 százalékának esetében kimutatható volt, hogy a felhasználó által megadott jelszavakat sima, szöveges formátumban tárolták a mobilokon. Az alkalmazások kétharmada pedig olyan naplófájlokat generált, amelyekbe titkosítatlanul bizalmas információk is belekerültek. Az IOActive kifejtette, hogy olyan programokról van szó, amelyek alkalmasak tőzsdei ügyletek lebonyolítására, árfolyamfigyelésre és -riasztásra, banki tranzakciók végrehajtására stb. Vagyis nem megengedhető, hogy ezek a szoftverek titkosítatlanul tárolják a felhasználók adatait.
Forrás: IOActive
Sajnos nemcsak az adattárolással volt probléma. Kettő alkalmazás nemes egyszerűséggel sima HTTP kapcsolaton keresztül kommunikált a szerverrel. Ugyanakkor a maradék appok sem voltak mentesek a kommunikációs problémáktól: tizenhárom szoftver nem megfelelően implementálta a HTTPS-t, így azok ellen közbeékelődéses (MitM - Man-in-the-Middle) támadások voltak indíthatók. További kockázatként merültek fel olyan tényezők, mint például a rootolt készülékek problémás detektálása, a kódokba égetett titkosító kulcsok és jelszavak stb.
A fentiek önmagukban is elég aggasztóak, azonban a kegyelemdöfést az adta meg, hogy az IOActive által felkeresett vállalatok közül mindössze kettő jelzett vissza a biztonsági kutatók által feltárt hibákkal kapcsolatban. A többi cég még csak válaszra sem méltatta a hibabejelentéseket.
-
A Cisco IOS XE-hez több patch vált elérhetővé.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.