Σύνταξη: tourismtoday.gr

Το πρώτο εξάμηνο του 2021, ο αριθμός των εγκαταστάσεων σε ταξιδιωτικές εφαρμογές για κινητές συσκευές αυξήθηκε περισσότερο από 35%. Ποσοστό ιδιαίτερα αυξημένο από την πιο πολυσύχναστη ταξιδιωτική περίοδο από το 2019.

Ωστόσο οι ταξιδιωτικές εφαρμογές για κινητές συσκευές μπορούν να χαλάσουν τις διακοπές.
Δυστυχώς, πολλές από τις ταξιδιωτικές εφαρμογές για κινητές συσκευές που είναι διαθέσιμες στο Apple App Store και στο Google Play store θέτουν τους χρήστες σε κίνδυνο.

Αυτό αποκαλύπτει ανάλυση από την εταιρεία ασφάλειας εφαρμογών για κινητά NowSecure 118 δημοφιλών ταξιδιωτικών εφαρμογών και 48 δημοφιλών εφαρμογών αεροπορικών εταιρειών.

Όπως διαπιστώνεται οι περισσότερες από τις εφαρμογές που χρησιμοποιούμε για τη διαχείριση και την απόλαυση του ταξιδιού αποτυγχάνουν σε ορισμένα βασικά πρότυπα απορρήτου και ασφάλειας.

Τα κρίσιμα ελαττώματα σε ορισμένες από τις πιο δημοφιλείς ταξιδιωτικές εφαρμογές στον κόσμο:

  • Εκθέτουν κωδικούς πρόσβασης σε απλό κείμενο.
  • Διαρρέουν διαπιστευτήρια λογαριασμού.
  • Εκθέτουν τους χρήστες κινητών σε συλλογή δεδομένων, επιθέσεις ηλεκτρονικού ψαρέματος (phishing) και ακόμη και εγκλήματα στον κυβερνοχώρο.

Η μεθοδολογία της ανάλυσης

Το NowSecure βαθμολόγησε τις εφαρμογές για κινητά σε κλίμακα 0-100 και όρισε βαθμό επιτυχίας ή αποτυχίας γράμματος από A (100-90), B (89-80), C (79-70), D (69 -60) ή F (59 ή λιγότερο).

Οι εφαρμογές για κινητά με βαθμολογία Α ή Β αντιπροσωπεύουν εφαρμογές υψηλής ποιότητας και χαμηλού κινδύνου και θεωρούνται οι πιο ασφαλείς και έχουν επαληθευτεί σε δοκιμές όπως η προστασία των διαπιστευτηρίων, η κρυπτογράφηση προσωπικών πληροφοριών και οι ηλεκτρονικές συναλλαγές και η σωστή χρήση αδειών φορητών συσκευών.

  • Οι εφαρμογές για κινητά που σημείωσαν βαθμολογία C (79-70) έχουν μεσαίους κινδύνους. Θα πρέπει να χρησιμοποιούνται με προσοχή και να παρακολουθούνται για περίεργες δραστηριότητες ή βαθμολογίες που αλλάζουν με ενημερώσεις.
  • Οι εφαρμογές για κινητά της σειράς C ενδέχεται να διαρρέουν ευαίσθητες πληροφορίες ή να έχουν υπερβολικά περιττά δικαιώματα. Όπως μια εφαρμογή φακού που αποκτά δικαιώματα πρόσβασης σε βιβλίο διευθύνσεων επαφών, δεδομένα GPS ή κάμερα.
  • Οποιαδήποτε εφαρμογή έχει βαθμολογία D ή F (69 ή λιγότερο) αντιπροσωπεύει υψηλό κίνδυνο. Δεν πρέπει να χρησιμοποιείται έως ότου επιδιορθωθούν τα σφάλματα ασφαλείας από τους προγραμματιστές της.

Η αξιολόγηση εφαρμογών

Οι περισσότερες ταξιδιωτικές εφαρμογές απέτυχαν να προστατεύσουν πλήρως την ασφάλεια και το απόρρητο των χρηστών.

  • Αξιοσημείωτες 65 εφαρμογές (55%) σημείωσαν D ή F στην ασφάλεια και το απόρρητο.
    Που σημαίνει ότι περιείχαν τουλάχιστον δύο ευπάθειες υψηλού κινδύνου που διαρρέουν ευαίσθητα δεδομένα ή αφήνουν τους χρήστες ευάλωτους σε επιθέσεις δικτύου.
  • Από τις 54 εφαρμογές που απέτυχαν εντελώς, όλες περιείχαν ένα κρίσιμο ελάττωμα που επιτρέπει στους εισβολείς να συλλέγουν ή να τροποποιούν δεδομένα μέσω μη ασφαλών συνδέσεων στο Διαδίκτυο.
  • Από τη θετική πλευρά, 53 (45%) πέρασαν με C ή καλύτερο.
  • Συνολικά 15 εφαρμογές (13%) σημείωσαν βαθμολογία και Β και καμία εφαρμογή πέτυχε Α. Ζητήματα στους βαθμούς C ή καλύτερους μπορεί να περιλαμβάνουν ευπάθειες μεσαίου κινδύνου που μπορούν να αντιμετωπιστούν με την πάροδο του χρόνου. Αλλά εξακολουθούν να ενέχουν κινδύνους ασφαλείας.
  • Οι εφαρμογές αεροπορικών εταιρειών τα πήγαν ελαφρώς καλύτερα. Από τις 48 εφαρμογές στην αξιολόγηση, οι 20 (42%) απέτυχαν στις βασικές δοκιμές ασφάλειας και απορρήτου.

Πόσο ασφαλείς είναι οι ταξιδιωτικές εφαρμογές για κινητές συσκευές

Κάθε εφαρμογή στην ανάλυση περιέχει τουλάχιστον ένα ελάττωμα ασφαλείας που θα μπορούσε ενδεχομένως να βλάψει τους χρήστες.

Σχεδόν το 40% των ταξιδιωτικών εφαρμογών και το 35% των εφαρμογών αεροπορικών εταιρειών έχουν ελαττώματα που επιτρέπουν σε έναν εισβολέα να αναλάβει τον έλεγχο της εφαρμογής ή ακόμα και της ίδιας της συσκευής.

Οι κίνδυνοι εφαρμογών για κινητά βρίσκονται βαθιά στον ίδιο τον κώδικα.
Τα απαρχαιωμένα ή μολυσμένα στοιχεία λογισμικού που χρησιμοποιούνται από προγραμματιστές, οι εσφαλμένες διαμορφωμένες συνδέσεις δικτύου και τα ακατάλληλα δικαιώματα στον κώδικα της εφαρμογής για κινητά διευκολύνουν τους χάκερ να συλλέγουν τεράστιες ποσότητες δεδομένων ή να εξαγοράζουν ανυποψίαστους λογαριασμούς χρηστών.

Η ταχεία ανάπτυξη εφαρμογών για κινητά σε συνδυασμό με την έλλειψη επαρκούς ασφάλειας και δοκιμών απορρήτου επιτρέπουν σε αυτά τα ζητήματα ασφάλειας και απορρήτου να διαφύγουν.

Πολλές από τις εφαρμογές για κινητά που εξετάστηκαν από το NowSecure απέτυχαν. Δεν πληρούν ούτε τα ελάχιστα βιομηχανικά πρότυπα για την ασφάλεια και το απόρρητο που καθορίζονται από το αναγνωρισμένο παγκόσμιο πρότυπο του Έργου Ασφάλειας Εφαρμογών Ανοιχτού Ιστού (OWASP) Mobile Security Project.

Σύμφωνα με την ανάλυση, παρουσιάστηκε ένα κοινό ελάττωμα στην αποθήκευση δεδομένων στη συσκευή. Όλες οι εφαρμογές ταξιδιών για κινητά περιέχουν σημαντικά ζητήματα ανασφαλούς αποθήκευσης, όπως η έκθεση κωδικών πρόσβασης σε απλό κείμενο.

Η τοποθεσία GPS, οι προσωπικές πληροφορίες διεύθυνσης και τα βιομετρικά στοιχεία, ενώ άλλα ευαίσθητα δεδομένα μπορούν να εκτεθούν σε τρίτους.

Σχεδόν όλες οι εφαρμογές ταξιδιών και αεροπορικών εταιρειών που αναλύθηκαν στο NowSecure περιέχουν συνδέσεις δικτύου με κακή κωδικοποίηση.

Ένα κοινό ελάττωμα σε πολλές από τις εφαρμογές, εκθέτει την κυκλοφορία δικτύου σε υποκλοπή και τροποποίηση. Ορισμένες από αυτές τις εφαρμογές υψηλού κινδύνου στο Android δημιουργούν κατά λάθος μια επικίνδυνη κερκόπορτα. Δίνοντας στους χάκερ έναν ευκολότερο τρόπο να κλέψουν δεδομένα από εκατομμύρια χρήστες κινητών ή να χρησιμοποιηθούν ως φορέας phishing.

ΠΑΡΟΜΟΙΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΔΗΜΙΟΥΡΓΟ