iOS-utviklere klarer fremdeles ikke å bygge ende-til-ende-kryptering i apper

Rapport: Et flertall webapper har sikkerhetshull. En ny rapport fant at en stor prosentandel av webapper inneholdt minst ett sikkerhetssårbarhet, sier Brandon Vigliarolo fra TechRepublic.

Selv om Apple har gitt mandat til at iOS-utviklere bygger ende-til-ende-kryptering i appene sine, gjør ikke flertallet av appene det, ifølge en onsdag-rapport fra det mobile sikkerhetsfirmaet Wandera.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Apples App Transport Security (ATS) -funksjon hjelper utviklere å oppfylle kravene til personvern og er tilgjengelige og aktivert som standard. Det er i hovedsak et sett med regler som sikrer at iOS-apper og apputvidelser kobles til webtjenester ved hjelp av sikre tilkoblingsprotokoller, heter det i rapporten. I juni 2016 kunngjorde Apple at det vil kreve at alle iOS-apper skal bruke HTTPS-tilkoblinger innen 1. januar 2017. I desember 2016 sa Apple imidlertid at den forlenger denne fristen, men har fremdeles ennå ikke kunngjort en dato.

Komme i gang med iOS-utvikling (gratis PDF) (TechRepublic)

Når fristen er satt, må apper håndheve ATS-funksjonen, som opprinnelig ble utgitt med iOS 9. ATS tvinger tilkoblingene til HTTPS i stedet for HTTP, for å styrke personvernet.

Wandera analyserte mer enn 30 000 iOS-apper som oftest ble brukt av ansatte, og fant ut at omtrent 68% ikke brukte ATS for å kryptere data.

Kryptering av data forbedrer brukernes personvern og dataintegritet, og rapporten noteres. Retningslinjene for appgjennomgang sier for tiden at utviklere må oppgi en begrunnelse for å deaktivere ATS. Rapporten fant imidlertid at begrunnelsen ikke trenger å være sterk, og i de fleste tilfeller kan utviklere enkelt deaktivere funksjonen.

Årsakene til å deaktivere ATS kan være fordi apper trenger å snakke med tredjepartsreklame, markedsundersøkelser, analyser og filvertjenester, og disse eksterne tjenestene støtter kanskje ikke HTTPS-tilkoblinger, ifølge rapporten. For eksempel anbefaler annonseringsnettverk som MoPub og Google AdMob å deaktivere ATS helt for å sikre at annonsene er lastet riktig, bemerket den.

Selv om deaktivering av ATS globalt ikke nødvendigvis betyr at kommunikasjon er ukryptert, betyr det ikke at systemets sikkerhetstiltak er deaktivert, noe som gir mer rom for feil, heter det i rapporten.

Rapporten fant at appkategoriene som mest sannsynlig kunne aktivere ATS globalt, inkluderer økonomi, helse og fitness, verktøy, foto- og video- og navigasjonsapper. Dette er sannsynligvis fordi disse appene har mindre behov for å kommunisere til utenfor nettet. App-kategoriene som sannsynligvis har ATS deaktivert globalt inkluderer nyheter, sport, spill, vær og underholdning, melder rapporten.

Til syvende og sist er det opp til utviklerne å sikre at ATS-funksjoner er aktivert etter behov.

For mer, sjekk hvordan du blir en iOS-utvikler: Et jukseark på TechRepublic.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • Hvordan bli en cybersecurity-proff: Et jukseark (TechRepublic)

  • 10 farlige appsårbarheter å passe på (TechRepublic nedlasting)

  • Windows 10-sikkerhet: En guide for bedriftsledere (Tech Pro Research)

  • Online sikkerhet 101: Tips for å beskytte personvernet ditt mot hackere og spioner (ZDNet)

  • De beste passordlederne i 2019 (CNET)

  • Cybersecurity og cyberwar: Mer må-lese dekning (TechRepublic på Flipboard)

© Copyright 2020 | mobilegn.com