पिछले साल, जबकि दुनिया ने हाई-प्रोफाइल आपूर्ति-श्रृंखला हमलों पर ध्यान केंद्रित किया, एक अन्य क्षेत्र की घेराबंदी की गई: मोबाइल एप्लिकेशन। 2020 में 200 बिलियन से अधिक डाउनलोड के साथ, मोबाइल एप्लिकेशन एक जटिल हमले की सतह पेश करते हैं। यह आश्चर्य की बात नहीं है कि चार कंपनियों में से एक वेरिज़ोन द्वारा किए गए सर्वेक्षण में मोबाइल या इंटरनेट ऑफ थिंग्स डेटा उल्लंघन का सामना करना पड़ा।

2021 के शीर्ष मोबाइल डेटा उल्लंघनों पर एक नज़र डालते हैं कि हम इस वर्ष क्या उम्मीद कर सकते हैं। अमेज़ॅन रिंग और स्लैक जैसे कॉर्पोरेट दिग्गजों से लेकर यूएस कस्टम्स एंड बॉर्डर प्रोटेक्शन (सीबीपी) तक, ये मोबाइल ऐप उल्लंघन हैं जिन्होंने सुर्खियां बटोरीं।

अमेज़न रिंग ऐप डेटा लीक करता है
पिछले जनवरी में, अमेज़न रिंग नेबर्स ऐप में सुरक्षा दोष लीक सटीक स्थान और पते ऐप पर पोस्ट करने वाले उपयोगकर्ताओं की संख्या। हालांकि उपयोगकर्ता पोस्ट सार्वजनिक होते हैं, ऐप सामान्य रूप से सटीक स्थानों को प्रकट नहीं करता है। बग ने ऐप के उपयोगकर्ताओं को डेटा प्रदर्शित नहीं किया, लेकिन उपयोगकर्ता के अक्षांश, देशांतर और घर के पते सहित छिपा हुआ डेटा एकत्र किया। रिंग IoT डोरबेल्स और सर्विलांस कैमरों की शुरुआत के बाद से सुरक्षा समस्याओं के बावजूद, रिंग नेबर्स ऐप पहुंच गया 10 मिलियन उपयोगकर्ता 2020 में।

स्लैक मोबाइल ऐप यूजर क्रेडेंशियल्स को उजागर करता है
लोकप्रिय टीम सहयोग उपकरण स्लैक ने पिछले साल विचारों की तुलना में अधिक साझा किया। जैसा कि पिछले जनवरी में रिपोर्ट किया गया था, एंड्रॉइड मोबाइल ऐप में एक बग ने उपकरणों पर स्पष्ट-पाठ उपयोगकर्ता क्रेडेंशियल लॉग किया। प्रभावित ग्राहकों को पासवर्ड रीसेट करने और ऐप डेटा लॉग को मिटाने के लिए कहा गया था। स्लैक की तुलना में अधिक समेटे हुए है 12 मिलियन दैनिक उपयोगकर्ता।

SHAREit फ़ाइल शेयरिंग ऐप रिमोट कोड निष्पादन के लिए असुरक्षित

फरवरी में, ZDNet ने सूचना दी कि 1 बिलियन से अधिक डाउनलोड वाले Android फ़ाइल-शेयरिंग ऐप में भेद्यता तीन महीने के लिए ठीक नहीं हुई थी। SHAREit ऐप के डेवलपर्स ने एक बग को याद किया जिसका इस्तेमाल स्मार्टफोन पर दुर्भावनापूर्ण कोड चलाने के लिए किया जा सकता है। SHAREit ने अंततः भेद्यता को ठीक कर लिया, लेकिन कोड को लाखों लोगों के साथ साझा किए जाने से पहले नहीं।

13 Android ऐप्स ने लाखों यूजर्स का डेटा लीक किया
क्या होता है जब मोबाइल ऐप डेवलपर संचार को सुरक्षित करने में विफल हो जाते हैं? शायद सबसे बड़ी मोबाइल उल्लंघन रिपोर्ट में से एक अप्रैल में, चेक प्वाइंट रिसर्च ने बताया कि 13 लोकप्रिय एंड्रॉइड ऐप ने 100 मिलियन उपयोगकर्ताओं के डेटा को उजागर किया। डेवलपर ईमेल, चैट संदेश, पासवर्ड और फ़ोटो सहित व्यक्तिगत डेटा को उजागर करते हुए तृतीय-पक्ष क्लाउड सेवाओं को सुरक्षित करने में विफल रहे।

पार्कमोबाइल का उल्लंघन 21 मिलियन उपयोगकर्ताओं को प्रभावित करता है
इस साल, क्रेब्सऑन सिक्योरिटी डार्क मार्केट में बिक्री के लिए पार्किंग ऐप के 21 मिलियन उपयोगकर्ताओं के खाते की जानकारी मिली। ParkMobile के डेवलपर्स ने तब पाया कि तृतीय-पक्ष सॉफ़्टवेयर ने ग्राहक के ईमेल पते, फ़ोन नंबर और लाइसेंस प्लेट नंबर सहित व्यक्तिगत डेटा लीक किया है। पार्कमोबाइल अब एक का सामना कर रहा है फौजदारी का मुकदमा
उपयोगकर्ता डेटा को उजागर करने के लिए।

Klarna भुगतान ऐप उपयोगकर्ता शेष को उजागर करता है
मई में, कर्लना के एक मोबाइल बैंकिंग ऐप को सुरक्षा उल्लंघन का सामना करना पड़ा, जिससे व्यापक ग्राहक भ्रम पैदा हुआ। ऐप के उपयोगकर्ताओं ने अपने स्वयं के बजाय अन्य उपयोगकर्ताओं की खाता जानकारी को संक्षेप में देखा। प्रति कर्लना प्रकटीकरण, मानवीय त्रुटि के कारण जानकारी को अनपेक्षित तरीके से कैश किया गया। यह घटना कुछ ही समय बाद हुई जब क्लार्ना को नए निवेश में $639 मिलियन मिले।

COVID पासपोर्ट ऐप ने उपयोगकर्ताओं को बेनकाब किया
के एक अन्य उदाहरण में महामारी का फायदा उठा रहे हैकर, पोर्टपास, एक निजी कनाडाई COVID टीकाकरण पासपोर्ट मोबाइल ऐप, ने 650,000 उपयोगकर्ताओं के व्यक्तिगत डेटा को उजागर किया। कोई भी इसकी वेबसाइट पर प्रोफाइल का उपयोग कर सकता है, और मोबाइल ऐप ने व्यक्तिगत डेटा को अनएन्क्रिप्टेड और प्लेनटेक्स्ट में संग्रहीत छोड़ दिया।

लीक हुए ऐप्स लीकी बॉर्डर बनाते हैं
यूएस सीबीपी द्वारा बनाए गए छह मोबाइल पासपोर्ट नियंत्रण एप्लिकेशन 10 मिलियन यात्रियों के व्यक्तिगत डेटा को उजागर किया जब ऐप्स ने व्यक्तिगत रूप से पहचान योग्य जानकारी लीक की। एक ऑडिट में पाया गया कि सीबीपी कमजोरियों का पता लगाने के लिए 2016 और 2019 के बीच जारी किए गए 91% एप्लिकेशन अपडेट को स्कैन करने में विफल रहा।

Apple iMessage में ज़ीरो-डे 900 मिलियन डिवाइस को प्रभावित करता है
में से एक में साल का सबसे बड़ा मोबाइल उल्लंघन, Apple ने iMessage में एक शून्य-दिन का दोष तय किया जिसने इसके सभी को उजागर कर दिया 900 मिलियन सक्रिय उपयोगकर्ता iPhones, iPads, Watches, और MacBooks से लेकर NSO Group के स्पाइवेयर तक। NSO ने राजनीतिक कार्यकर्ताओं की जासूसी करने की भेद्यता का फायदा उठाया।

हमेशा की तरह संदिग्ध
इस साल के कई सबसे बड़े उल्लंघन उन्हीं कमजोरियों से आए हैं जिन्हें हम साल दर साल देखते हैं। अधिकांश को गतिशील मोबाइल एप्लिकेशन सुरक्षा परीक्षण, मोबाइल डेवलपर्स के लिए बेहतर प्रशिक्षण और मोबाइल एप्लिकेशन सुरक्षा को अधिक गंभीरता से लेने की इच्छा से रोका जा सकता था। के बीच में हमेशा की तरह संदिग्ध:

  • असुरक्षित कोड एक हमलावर को पहुंच या नियंत्रण की अनुमति देता है। जैसा कि iMessage के मामले में, त्रुटिपूर्ण कोड एक हमलावर को डिवाइस पर हर चीज तक पहुंच प्रदान कर सकता है।
  • असुरक्षित नेटवर्क कॉन्फ़िगरेशन मोबाइल ऐप और सर्वर के बीच हैकर्स को बीच-बीच में हमले करने की अनुमति मिलती है।
  • डिवाइस पर असुरक्षित स्टोरेज दुर्भावनापूर्ण उपयोगकर्ता या मैलवेयर को संवेदनशील डेटा स्टोर का निरीक्षण करने की अनुमति देता है।
  • डेटा लीक करने वाले ऐप्स, अमेज़ॅन रिंग नेबर्स ऐप ब्रीच के साथ, अनुचित कोडिंग से आते हैं, जिससे बेहतर परीक्षण के लिए मामला बनता है।
  • असुरक्षित कॉन्फ़िगरेशन नेटवर्क पर डेटा लीक करते हैं क्योंकि मोबाइल एप्लिकेशन, कैरियर और सर्वर के बीच संचार एक जटिल आक्रमण सतह बनाता है।
  • संवेदनशील डेटा की असुरक्षित सुरक्षा, जैसा कि कर्लना उल्लंघन के साथ होता है, इसका मतलब है कि मोबाइल ऐप संवेदनशील डेटा जैसे पासवर्ड और क्रेडिट कार्ड की जानकारी को सादे टेक्स्ट में उजागर कर देते हैं।

इस साल आगे क्या है?
मोबाइल उल्लंघनों की तरह हमने 2021 में व्यवसायों को खोए हुए राजस्व, उपचार लागत, क्षतिग्रस्त ब्रांड प्रतिष्ठा, और बहुत कुछ में देखा। दुर्भाग्य से, इस प्रकार के उल्लंघन पूरे 2022 तक जारी रहेंगे।

उनमें से कई दर्द हमारे स्वयं के असुरक्षित कोडिंग प्रथाओं और पर्याप्त परीक्षण की कमी के कारण स्वयं उत्पन्न होंगे। सुरक्षा दल आने वाले वर्ष में सॉफ़्टवेयर विकास जीवन चक्र में ऐप्स का परीक्षण करके और उत्पादन में सभी मोबाइल ऐप्स की निगरानी करते हुए जल्द ही त्रुटियों को पकड़कर एक प्रमुख मोबाइल ऐप उल्लंघन की संभावनाओं को कम कर सकते हैं।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here