IT之家 9 月 26 日消息,安全公司 Zimperium 最新研究发现,超过半数 iOS 应用存在泄露敏感数据风险,比例高于安卓应用(约三分之一)。移动应用已成为 API 攻击的主要战场,带来严重的企业数据泄露与欺诈风险。
IT之家注:API 全称为 Application Programming Interface,就像不同系统间的“通信协议”,是软件之间用来交换数据和指令的接口。
研究指出,移动应用在不可信设备上运行 API 端点和调用逻辑,易被篡改或反向工程。攻击者可拦截流量、修改应用,并让恶意 API 调用看似合法。防火墙、网关、代理和 API 密钥验证等传统防护手段,无法有效阻止发生在应用内部的攻击。
即便采用 SSL 证书绑定(SSL Pinning)防御中间人攻击,仍存在漏洞。近三分之一的安卓金融类应用和五分之一的 iOS 旅行类应用仍可被攻击。此外,许多应用在设备端错误处理敏感数据,存在控制台日志记录、外部存储和不安全的本地存储等问题,使数据更易被获取。
报告还发现,31% 的全部应用及 37% 的 TOP100 应用会将个人可识别信息传输到远程服务器,其中不少未加密。一些嵌入的 SDK 甚至会秘密外传数据、记录用户操作、捕获 GPS 位置并发送至外部服务器。这表明,即便是官方商店的应用,也可能存在严重安全风险。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
