Υγειονομική περίθαλψη εφαρμογή: Μια πρόσφατη αξιολόγηση ορισμένων από τις πιο δημοφιλείς εφαρμογές για κινητές υπηρεσίες υγειονομικής περίθαλψης αποκάλυψε σοβαρές ευπάθειες ασφάλειας. Μεταξύ αυτών είναι οι εφαρμογές παρακολούθησης Covid, από τις οποίες το 85% βρέθηκε να διαρρέει δεδομένα. Η εταιρεία λογισμικού Intertrust Technologies ανέλυσε 100 εφαρμογές χρησιμοποιώντας δοκιμές με βάση τις οδηγίες ασφάλειας εφαρμογών για κινητά του Open Web Application Security Project.
Μεταξύ των κατηγοριών που αξιολογήθηκαν, οι εφαρμογές τηλεϊατρικής καθώς και οι εφαρμογές εμπορίου υγείας ήταν οι πιο ευάλωτες σε θέματα ασφάλειας υψηλού επιπέδου, μια ανησυχία δεδομένης της αυξημένης εξάρτησης από την τηλεϊατρική από τότε που ξεκίνησε η πανδημία.
Η αξιολόγηση διαπίστωσε ότι το 71% των δοκιμασμένων ιατρικών εφαρμογών έχουν τουλάχιστον ένα υψηλό επίπεδο ευπάθειας ασφαλείας – ορίζεται ως υψηλό επειδή μπορεί να αξιοποιηθεί εύκολα και έχει τη δυνατότητα σημαντικής ζημιάς ή απώλειας.
Αδύναμη κρυπτογράφηση βρέθηκε στο 91% των εφαρμογών, θέτοντάς τους σε κίνδυνο έκθεσης δεδομένων και κλοπής πνευματικής ιδιοκτησίας. Η αποθήκευση δεδομένων είναι επίσης ένα πρόβλημα, με το 60% των δοκιμασμένων εφαρμογών Android να αποθηκεύουν πληροφορίες στο SharedPreferences, γεγονός που αφήνει τα μη κρυπτογραφημένα δεδομένα εύκολα αναγνώσιμα και επεξεργάσιμα από εισβολείς και κακόβουλες εφαρμογές.
Γιατί λοιπόν τα θέματα ευπάθειας είναι τόσο κοινά; Ο Bill Horne, VP και GM της Intertrust Secure Systems, μας λέει ότι έχει απλή σχέση με τον τρόπο σχεδιασμού των εφαρμογών. “Μεγάλο μέρος έχει να κάνει με τον τρόπο που η εφαρμογή αποθηκεύει και χειρίζεται ευαίσθητα δεδομένα. Είναι σημαντικό να χρησιμοποιούνται οι βέλτιστες πρακτικές ασφαλείας κατά τη φάση σχεδιασμού της εφαρμογής.
Για παράδειγμα, το 91% των εφαρμογών που δοκιμάστηκαν είχαν λανθασμένη ή αδύναμη κρυπτογράφηση. Αλλά ακόμη και Μόλις η εφαρμογή περάσει από τη φάση σχεδιασμού, πολλά από αυτά τα ζητήματα μπορούν να επιδιορθωθούν από τους προγραμματιστές και τους μηχανικούς ασφαλείας, είναι θέμα χρόνου και εργαλείων. ”
Μια μεγάλη ανησυχία είναι η ανακάλυψη ότι οι περισσότερες από τις εφαρμογές παρακολούθησης Covid που δοκιμάστηκαν δεν αποθηκεύουν τα δεδομένα των ανθρώπων με ασφάλεια, σε μια εποχή που οι πληθυσμοί ενθαρρύνονται να χρησιμοποιούν το εργαλείο. “Αυτό δεν είναι κάτι νέο”, λέει ο Horne.
“Ένα ελάττωμα ασφαλείας στην εφαρμογή παρακολούθησης επαφών του Κατάρ ενδέχεται να εκθέσει τα ευαίσθητα δεδομένα περισσότερων από ενός εκατομμυρίου χρηστών, ενώ η εφαρμογή παρακολούθησης επαφών της ινδικής κυβέρνησης διέρρευσε αρχικά δεδομένα τοποθεσίας και το NHS του Ηνωμένου Βασιλείου έπρεπε να εγκαταλείψει την εφαρμογή ανίχνευσης επαφών λόγω πολλών ζητημάτων ασφάλειας που ανακαλύφθηκαν κατά τη διάρκεια της δοκιμαστικής εκτέλεσης. Λάθος βάσεις δεδομένων, κακή κρυπτογράφηση, ανασφαλής αποθήκευση δεδομένων και πρόσβαση είναι μερικοί λόγοι για τους οποίους αυτά τα ευαίσθητα δεδομένα είναι σχετικά εύκολο να εξαχθούν. “