İçişleri Bakanlığı’nın AB Çıkışı: Kimlik Belgesi Avrupa Birliği (AB) vatandaşlarının Yerleşik Durum için başvurmalarına olanak sağlayan Android akıllı telefon uygulamasını, İngiltere’nin AB’den ayrılması halinde, hacker’ların kötü amaçlı yazılımlara maruz kalma riskine sokan çoklu siber güvenlik kusurları içeriyor Pasaport bilgilerini ve biyometrik yüz taramalarını çalmak.
Göre Mali ZamanlarHikayeyi ilk kez bildiren, uygulamanın Android versiyonuyla ilgili bir takım problemler, en sık kullanılan saldırı yöntemlerine karşı dayanıklılığını test eden Norveçli güvenlik firması Promon’dan araştırmacılar tarafından belirlendi.
Promon başkanı teknoloji uzmanı Tom Lysemose Hansen, “Araştırmamızdan, Android’deki Brexit uygulamasının, kullanıcıların girdiği bilgilerin hassas doğasını düşündüğünüz zaman büyük ölçüde önem arz eden önemli güvenlik önlemleri olmadığını gördük” dedi.
“Bu politik belirsizlik zamanında, Birleşik Krallık’ta kalmak için başvuran kişilerin ihtiyaç duydukları veya bekledikleri son şey pasaport bilgilerinin ve fotoğraflı kimliklerinin bilgisayar korsanları tarafından çalınması konusunda endişeli.
“Uygulama popülaritesinde ve talebinde büyümeye devam edeceğinden, Birleşik Krallık ayrılırsa onlara ne olacağından korkan daha fazla insanla birlikte, olası müteakip serpinti harap ile birlikte, saldırganlar için giderek daha çekici hale geleceği anlamına geliyor.”
Milyondan fazla bir süredir indirilen ve kullanılan uygulamanın, pasaport ayrıntıları ve fotoğraf kimliği de dahil olmak üzere, kötü amaçlı yazılımın kötü amaçlı bilgileri okumasını ve çalmasını önleyecek temel işlevsellikten yoksun olduğu ve işini yapabilecek gizlilik kullanamadığı bulundu. hedeflenen kötü amaçlı yazılımları kötü niyetli oyuncular için daha zor yazmak.
Aynı zamanda, adres ve telefon numaraları gibi, kendi metin alanlarına yazılanları kaydedebilecek temel ve genel casus yazılımlara karşı da savunmasızdır.
Kolayca yararlanılabilen diğer güvenlik açıkları arasında, uygulamaya kötü amaçlı öğeler değiştirme veya ekleme ve ardından fark etmeden yeniden dağıtma ve yeniden dağıtma; çalışırken enjeksiyonları kodlamak için esneklik eksikliği; Android’in temel güvenlik mimarilerinin kırıldığı köklü bir telefon gibi düşmanca bir ortamda mı çalıştığını söyleyememek; ve bir saldırganın hata ayıklama araçlarını kullanarak çalışma zamanında analiz edip etmediğini söyleyememek.
Bir Home Office sözcüsü Computer Weekly’e şunları söyledi: “Kişisel bilgilerin güvenliğini ve korunmasını son derece ciddiye alıyoruz. AB Çıkışı: Kimlik Belgesi Kontrolü uygulaması, bilinen ve ortaya çıkan tüm tehditlere karşı bağımsız güvenlik firmaları tarafından düzenli olarak test edilir ve güvenlik, performans ve erişilebilirlik konusunda endüstrinin en iyi uygulamasına bağlıdır.
“Bir milyondan fazla kişi uygulamayı güvenli bir şekilde kullandı ve güvenli kalmasını sağlamak için sistemlerimizi sürekli gözden geçiriyoruz.”
Promon tarafından test edilen yöntemlerden herhangi birini kullanarak, bugüne kadar, uygulamanın bilinen hiçbir ihlalinin gerçekleştirilmediği anlaşılmaktadır. Bu uygulama ayrıca bağımsız olarak siber güvenlik firmaları tarafından test edildi ve doğrulandı, bu tür son test Eylül 2019’da gerçekleşti ve hem iOS hem de Android platformunda mevcut olan uygulamalar için tüm güvenlik gereksinimlerine uygun olarak kaldı.
Yine de, Arxan EMEA başkan yardımcısı Mark Noctor, İçişleri Bakanlığı’nın bu kadar önemli bir uygulamanın uygun şekilde güvence altına alınmasının önemini tanımadığının “şaşırtıcı” olduğunu söyledi.
“Bu güvenlik açıklarını durdurmak için mobil uygulamaların korunması gerektiğini sürekli tekrar etmemiz gerekiyor” dedi. “Bu, bir uygulama güvenliği zihniyetini uygulayarak yapılabilir, böylece uygulama sürecinin bir parçası olan herkes, işlemin bir bölümünü korumaktan ve uygulama koruma, şifreleme ve tehdit analitiği dahil olmak üzere uygulama içi koruma oluşturmaktan sorumludur.
“Bu, saldırganların önlenmesine, izlerinde durmalarına ve geliştiriciyi olabilecek tehditlere karşı uyarmaya yardımcı olacak.”
Kötü uygulama
Synposys’in üst düzey güvenlik stratejisti Jonathan Knudsen şunları ekledi: “İçişleri Bakanlığı’nın hantal bir kağıt uygulamasını akıllı telefon uygulamasıyla değiştirme niyeti son derece elverişlidir, ancak uygulama kısa sürdü. Belki de bu uygulamanın yukarıdan aşağıya bir güvenlik iletme yeniden çalışması, hem istenen işlevselliği hem de böyle hassas bir uygulama için gerekli güvenlik ve güvenliği sağlar.
“Gerçek yazılım mühendisliğinin temel taşı, tasarım ve uygulamanın her aşamasında güvenliğin öncelikli olduğu Güvenli Gelişim Yaşam Döngüsüdür. Daha fazla test ve daha iyi test ile birleştiğinde SDLC, kuruluşların daha güvenli, daha güvenli ve daha sağlam yazılımlar üretmelerine yardımcı olan bir süreçtir. ”
Mevcut durumda, AB vatandaşlarının 30 Haziran 2021 tarihine kadar İngiltere’de Yerleşik Statüsü için kayıt yaptırmaları gerekmektedir, ancak bu durum İngiltere’nin 31 Ocak 2020’de gözden geçirilmiş çıkış tarihi itibariyle AB’den ayrılıp ayrılmamasına bağlı olarak değişebilir. Ayrıca, başvuruyu uygulamak için başka yollar da bulunduğundan, uygulamayı kullanma zorunluluğu yoktur.
Promon, yalnızca Ekim 2019’da yapılan ve zaman zaman tartışmalı bir dağıtım işleminden sonra kullanıma sunulan iPhone’lar için uygulamanın yeni yayınlanan iOS sürümünü test etmedi.
Kaynak:
Bir cevap yazın