不安全的物联网:软件仍然充满了安全漏洞

对官方商店提供的物联网移动应用安全性的审计发现,其保护技术仍然非常平庸。

Pradeo Security公司提供了一个具有代表性的100个iOS和Android应用程序示例,旨在通过他们的步伐管理连接对象(加热器,指示灯,门锁,婴儿监视器,闭路电视等)。

移动安全公司的研究人员发现,大约七分之一(15%)的应用程序来自Google Play和Apple App Store,这些应用程序很容易被收购。这些应用程序被发现对可能适用于中间人攻击的错误没有防御能力。

五分之四的测试应用程序存在漏洞,平均每个应用程序有15个漏洞。

大约每12个(8%)应用程序中就有调用或以其他方式连接到未经认证的服务器。“其中一些[证书 ]已过期并可供出售。任何购买它们的人都可以访问他们收到的所有数据,“Pradeo警告说。

Pradeo的团队还发现绝大多数应用程序泄露了他们处理的数据。这方面的失败是多种多样的。

  • 应用程序文件内容:81%的应用程序
  • 硬件信息(设备制造商,商业名称,电池状态...):73%
  • 设备信息(操作系统版本号...):73%
  • 临时文件:38%
  • 电话网络信息(服务提供商,国家代码...):27%
  • 视频和音频记录:19%
  • 来自应用静态数据的文件:19%
  • 地理位置:12%
  • 网络信息(IP地址,2D地址,Wi-Fi连接状态):12%
  • 设备标识符(IMEI):8%

Pradeo Security表示,它已经通知了涉案供应商关于其套件中发现的安全问题。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/03/28/iot_software_still_insecure
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券