Вы знали, что iPhone хранит все данные, введеные через экранную клавиатуру, включая данные платежных карт, в течение целого года?! Это всего лишь один из многочисленных примеров «мобильных катастроф», количество которых увеличивается по мере роста мобильной индустрии.
Множество приложений попросту неряшливы в плане безопасности конфиденциальных данных. Недавно финансовая компания Citigroup признала, что их iPhone-приложения для мобильного банкинга сохраняют в телефоне номера счетов и пароли. Мы только начинаем понимать, как мало нам известно о мобильных телефонах и какое огромное количество информации они могут в себе хранить.
Рекомендации по безопасности в индустрии платежных карт основаны на предположении, что данные платежных карт могут попасть к злоумышленнику вследствие недобросовестных действий компании. В случае с мобильной коммерцией логичным ответом может стать «Во всем виновата мобильная ОС». Однако, это не поможет в том случае, если удастся доказать, что компания знала о проблеме, но не предпринимала никаких попыток ее решить.
Еще больше усложняет ситуацию тот факт, что есть способы извлекать конфиденциальную информацию их кэш-памяти клавиатуры. Однако Apple, очевидно, не допускает появления подобных приложений в iTunes Store.
И в мире небезопасных приложений Citigroup не одинока. На прошлой неделе поставщик решений мобильной безопасности Lookout сообщил, что исследовал около 300000 приложений и обнаружил множество программ, хранящих в себе персональную информацию. Например, 14% бесплатных приложений на платформе iPhone и 8% бесплатных приложений на Android просматривают контактные записи клиента и около одной трети бесплатных приложений на обоих типах платформ отслеживают местоположение пользователя.
Такой подход к хранению данных, может быть, и не заслуживал такой панической огласки, если бы не повышенная способность злоумышленников проникать в смартфоны. На конференции Black Hat было продемонстрировано, как можно внедрить вредоносный файл в iPhone, если пользователь посетил зараженный веб-сайт. «Вредоносный» сайт jailbreakme.com использовал дыру в системе безопасности iPhone, включая возможность запускать на телефоне приложения, несанкционированные Apple. Любые вредоносные программы могут быть внедрены аналогичным образом.
Есть вещи, которые под силу производителям: шифровать конфиденциальные данные, которые используются приложением, переписать все приложения, временно сохраняющие данные, создавать свои собственные безопасные способы ввода данных платежных карт. И жизненно важно, чтобы они сделали правильный выбор. Потому что сочетание слишком чувствительной информации с вредоносными программами, которые легко забираются в iPhone и роются в личных данных пользователей, на практике означает, что злоумышленники смогут похитить практически любую информацию. И для производителей станет очень затруднительно просить клиентов ввести данные их платежной карты.
Ситуация становится еще хуже. Поставщики из кожи вон лезут, чтобы убедиться, что их мобильные приложения не нарушают политику конфиденциальности. Во время эксперимента Best Buy с Shopkick, компания просто кричала о том факте, что только их мобильные приложения лишь получают данные о трансляции сигнала, а не отправляют их, защищая, таким образом, частную информацию. Но что, если сам телефон сводит на нет все усилия, и сохраняет множество личных данных пользователя?
Если произойдет утечка конфиденциальных данных, пользователи будут искать виноватых. Вы действительно хотите, чтобы в этот момент было запущено приложение с вашим логотипом? Даже если приложения будут тщательно шифровать пользовательскую информацию, она все равно будет храниться в операционной системе iPhone. И хотя приложения могут регулярно «чистить» записи в ОС, нет никаких сомнений, что экранная клавиатура iPhone по-прежнему будет сохранять информацию в телефоне.
В результате злоумышленники смогут создать вредоносные программы, которые будут точно знать, где искать информацию, введенную через экранную клавиатуру. Затем останется отфильтровать среди всей информации ту, которая касается платежных карт, и передать важные данные через интернет в удаленном режиме.
Не означает ли это, что поставщики приложений теперь рискуют стать нарушителями правил индустрии платежных карт и даже привлекаться к судебным искам? На это невозможно дать ответ. iPhone точно сохраняет все конфиденциальные данные. Это может стать проблемой индустрии платежных карт. Плюс ко всему, разработчики, скорее всего, знают о том, что конфиденциальные данные сохраняются, и, несмотря на это, просят клиентов вводить номера их кредиток. Эта возможность потенциальной кражи может стать поводом для судебных исков. Но никто не знает, станет ли – до тех пор, пока не появится первый судебный иск.
К счастью для разработчиков, все же существуют способы надежно защитить конфиденциальные данные, поступающие в приложение. К сожалению, все они имеют недостатки. Один из способов защитить данные введенные через клавиатуру iPhone – посоветовать пользователю воспользоваться функцией «Сбросить словарь клавиатуры» (Home -> Settings -> General -> Reset -> Reset Keyboard Dictionary). Однако этот подход обладает одним недостатком: многие полезные функции автоматического заполнения исчезают.
Лучше обойти проблему, и создать безопасную клавиатуру в рамках приложения, в частности для ввода данных платежных карточек, сроков действия, PIN-кодов, Zip-кодов и других конфиденциальных данных. Если приложение предоставляет свою цифровую клавиатуру, затем тщательно шифрует введенные данные и переписывает их, исходная информация никогда не выйдет за пределы кэш-памяти клавиатуры. Действительно, вся информация будет передаваться просто «в обход» iPhone.
К сожалению, Apple не допустит подобные приложения в магазине iStore, поскольку они нарушают стандарты пользования интерфейсом iPhone. Это не проблема для разработчиков, которые создают приложения для других смартфонов. Для них тщательная обработка входных данных платежной карты может стать самым лучшим способом обезопасить его, заодно оградиться от юридических рисков и вписаться в требования индустрии платежных карт.
Наилучшим решением проблемы с iPhone было бы создание безопасной цифровой клавиатуры, как части операционной системы iPhone, которая не использует кэш-память при вводе. Тогда разработчики приложений смогли бы сделать свои разработки безопасными, не нарушая правил Apple. Сама Apple так и не ответила на неоднократные просьбы прокомментировать эту проблему. Для разработчиков приложений iPhone, это может быть единственно верный путь обезопасить себя от судебных исков и защитить конфиденциальные данные пользователей.
Источник: Storefront Backtalk
Перевод Анастасии Червинской
Множество приложений попросту неряшливы в плане безопасности конфиденциальных данных. Недавно финансовая компания Citigroup признала, что их iPhone-приложения для мобильного банкинга сохраняют в телефоне номера счетов и пароли. Мы только начинаем понимать, как мало нам известно о мобильных телефонах и какое огромное количество информации они могут в себе хранить.
Рекомендации по безопасности в индустрии платежных карт основаны на предположении, что данные платежных карт могут попасть к злоумышленнику вследствие недобросовестных действий компании. В случае с мобильной коммерцией логичным ответом может стать «Во всем виновата мобильная ОС». Однако, это не поможет в том случае, если удастся доказать, что компания знала о проблеме, но не предпринимала никаких попыток ее решить.
Еще больше усложняет ситуацию тот факт, что есть способы извлекать конфиденциальную информацию их кэш-памяти клавиатуры. Однако Apple, очевидно, не допускает появления подобных приложений в iTunes Store.
И в мире небезопасных приложений Citigroup не одинока. На прошлой неделе поставщик решений мобильной безопасности Lookout сообщил, что исследовал около 300000 приложений и обнаружил множество программ, хранящих в себе персональную информацию. Например, 14% бесплатных приложений на платформе iPhone и 8% бесплатных приложений на Android просматривают контактные записи клиента и около одной трети бесплатных приложений на обоих типах платформ отслеживают местоположение пользователя.
Такой подход к хранению данных, может быть, и не заслуживал такой панической огласки, если бы не повышенная способность злоумышленников проникать в смартфоны. На конференции Black Hat было продемонстрировано, как можно внедрить вредоносный файл в iPhone, если пользователь посетил зараженный веб-сайт. «Вредоносный» сайт jailbreakme.com использовал дыру в системе безопасности iPhone, включая возможность запускать на телефоне приложения, несанкционированные Apple. Любые вредоносные программы могут быть внедрены аналогичным образом.
Есть вещи, которые под силу производителям: шифровать конфиденциальные данные, которые используются приложением, переписать все приложения, временно сохраняющие данные, создавать свои собственные безопасные способы ввода данных платежных карт. И жизненно важно, чтобы они сделали правильный выбор. Потому что сочетание слишком чувствительной информации с вредоносными программами, которые легко забираются в iPhone и роются в личных данных пользователей, на практике означает, что злоумышленники смогут похитить практически любую информацию. И для производителей станет очень затруднительно просить клиентов ввести данные их платежной карты.
Ситуация становится еще хуже. Поставщики из кожи вон лезут, чтобы убедиться, что их мобильные приложения не нарушают политику конфиденциальности. Во время эксперимента Best Buy с Shopkick, компания просто кричала о том факте, что только их мобильные приложения лишь получают данные о трансляции сигнала, а не отправляют их, защищая, таким образом, частную информацию. Но что, если сам телефон сводит на нет все усилия, и сохраняет множество личных данных пользователя?
Если произойдет утечка конфиденциальных данных, пользователи будут искать виноватых. Вы действительно хотите, чтобы в этот момент было запущено приложение с вашим логотипом? Даже если приложения будут тщательно шифровать пользовательскую информацию, она все равно будет храниться в операционной системе iPhone. И хотя приложения могут регулярно «чистить» записи в ОС, нет никаких сомнений, что экранная клавиатура iPhone по-прежнему будет сохранять информацию в телефоне.
В результате злоумышленники смогут создать вредоносные программы, которые будут точно знать, где искать информацию, введенную через экранную клавиатуру. Затем останется отфильтровать среди всей информации ту, которая касается платежных карт, и передать важные данные через интернет в удаленном режиме.
Не означает ли это, что поставщики приложений теперь рискуют стать нарушителями правил индустрии платежных карт и даже привлекаться к судебным искам? На это невозможно дать ответ. iPhone точно сохраняет все конфиденциальные данные. Это может стать проблемой индустрии платежных карт. Плюс ко всему, разработчики, скорее всего, знают о том, что конфиденциальные данные сохраняются, и, несмотря на это, просят клиентов вводить номера их кредиток. Эта возможность потенциальной кражи может стать поводом для судебных исков. Но никто не знает, станет ли – до тех пор, пока не появится первый судебный иск.
К счастью для разработчиков, все же существуют способы надежно защитить конфиденциальные данные, поступающие в приложение. К сожалению, все они имеют недостатки. Один из способов защитить данные введенные через клавиатуру iPhone – посоветовать пользователю воспользоваться функцией «Сбросить словарь клавиатуры» (Home -> Settings -> General -> Reset -> Reset Keyboard Dictionary). Однако этот подход обладает одним недостатком: многие полезные функции автоматического заполнения исчезают.
Лучше обойти проблему, и создать безопасную клавиатуру в рамках приложения, в частности для ввода данных платежных карточек, сроков действия, PIN-кодов, Zip-кодов и других конфиденциальных данных. Если приложение предоставляет свою цифровую клавиатуру, затем тщательно шифрует введенные данные и переписывает их, исходная информация никогда не выйдет за пределы кэш-памяти клавиатуры. Действительно, вся информация будет передаваться просто «в обход» iPhone.
К сожалению, Apple не допустит подобные приложения в магазине iStore, поскольку они нарушают стандарты пользования интерфейсом iPhone. Это не проблема для разработчиков, которые создают приложения для других смартфонов. Для них тщательная обработка входных данных платежной карты может стать самым лучшим способом обезопасить его, заодно оградиться от юридических рисков и вписаться в требования индустрии платежных карт.
Наилучшим решением проблемы с iPhone было бы создание безопасной цифровой клавиатуры, как части операционной системы iPhone, которая не использует кэш-память при вводе. Тогда разработчики приложений смогли бы сделать свои разработки безопасными, не нарушая правил Apple. Сама Apple так и не ответила на неоднократные просьбы прокомментировать эту проблему. Для разработчиков приложений iPhone, это может быть единственно верный путь обезопасить себя от судебных исков и защитить конфиденциальные данные пользователей.
Источник: Storefront Backtalk
Перевод Анастасии Червинской
