9 月 26 日报道,安全企业 Zimperium 最新调查发现,一半以上苹果系统软件存在泄露重要信息的问题,这个比例超过了安卓软件的三分之一左右。手机软件已经成为 API 攻击的主要目标,给企业信息外泄和欺诈活动带来了极大的隐患。
IT之家介绍:API全称为应用编程接口,可理解为系统间相互联络的规则,是软件用来传递信息与指令的桥梁。
调查发现,软件在不可靠终端上执行接口和程序流程,容易被恶意修改或逆向分析。黑客能够截取信息、更改软件,并使有害接口请求显得正当。防火墙、网关、中继和接口密钥确认等常规安全措施,难以防御应用内部的侵袭。
即使实施 SSL 证书锁定措施来抵御数据拦截行为,依然存在安全风险隐患。大约三分之一的安卓平台上的金融服务类软件,以及约五分之一的苹果系统中的旅游服务类软件,都可能遭受此类攻击。不仅如此,大量应用程序在终端设备上对重要信息处置不当,诸如在控制台输出日志信息、采用外部存储方案以及本地数据存储不够安全等情况,都为信息被窃取提供了便利条件。
调查揭示,有31%的所有软件以及37%的顶尖100款软件会传送个人身份信息至远端服务器,其中许多并未进行加密处理。部分内置的软件开发工具包会暗中传送数据、记录用户活动、获取GPS坐标并传送给外部平台。这说明,即便是在官方应用商店上架的软件,也可能潜藏着严峻的安全隐患。
