数字监识与安全服务供应商viaForensics近日公布了一项针对iOS与Andoid平台百大移动程序的安全测试报告,显示只有17%的程序完全通过安全测试,高达40%未能通过,其余程序则取得了漏洞警告。以程序类别来区分,viaForensics所测试的金融程序所曝露的资料远比社交网络程序少,约有近75%的社交网络未能通过安全测试,但只有25%的金融程序没通过安全测试。没通过安全测试的生产力程序有43%,没通过安全测试的零售程序有14%。
虽然未通过安全测试的零售程序比例很低,然而,其余的零售程序都得到漏洞警告,没有任何零售程序完全通过该测试,归纳其主要原因来自于相关程序多半储存了搜索历史纪录与姓名及住址等客户资讯。
值得注意的是,知名的Groupon for Android未能通过测试的原因是可被取得密码,而非官方的Starbucks程序甚至可找出16个数字的信用卡号码。
viaForensics研究人员从76%的程序中找到使用者名称,从69%的程序中发现应用程序数据,从10%的程序中找出密码。根据该公司的说明,即使多数人不认为使用者名称为机密资讯,但使用者名称的确是资料非常重要的一部份,很多系统都只需要使用者名称与密码,取得使用者名称后,便解决了50%的问题。目前只有少数的移动应用程序会保护使用者名称。
而69%的应用程序不是未通过应用程序数据的测试就是得到警告,代表诸如私密通讯、个人信息或帐户号码有外泄的可能性,那些未通过测试的则是以清楚的文字呈现上述内容。
研究人员则在10%的应用程序中发现以清楚文字所储存的密码,是此一研究中最能对使用者安全造成直接威胁的发现。
viaForensics认为,根据此一研究结果,若使用者遗失的手机落到心怀不轨的人手上,可能带来身份或金融窃盗的威胁,若黑客能够取得一组密码,再加上多个使用者密码,就可对不同帐号采用同一密码的使用者造成巨大的威胁。
移动应用程序的安全性尚未受到足够的重视,一名昵称为CyFi的10岁女童在本月举办的首届DEFCON Kids黑客会议中展示她如何破解农场游戏,CyFi即利用程序中的漏洞加速游戏时间进行,让农作物快速成长。