应用程序配置错误具有较低加密姿势风险的移动应用程序

惠普2月3日发布的2013年网络风险报告显示，许多应用程序配置错误，大多数移动应用程序未正确使用加密。惠普企业安全产品首席技术官雅各布·韦斯特(JacobWest)表示，惠普的研究表明46%的移动应用程序未正确使用加密。韦斯特告诉eWEEK：“这真是一个令人震惊的数字，因为如今人们对保持移动数据的安全性给予了如此关注。”

深入研究问题会使问题变得更加令人担忧。现在，移动开发人员可以从互联网行业在过去十年中从最佳实践中获得的安全经验中学习，从而受益匪浅。更进一步，当今移动开发人员使用的许多工具集和框架通常都内置了加密功能。

韦斯特说：“我们不认为移动开发人员必须临时采用自己的加密方式。”“这是过去的开发人员总是会犯错误的领域。

West说，加密仍然存在问题，因为通常开发人员也不是安全专家。他补充说，开发人员面临着快速开发和部署应用程序的持续压力，这可能也会对安全性产生影响。

不仅限于移动应用程序，惠普还发现总体上80%的应用程序配置错误，导致部署不安全。

“即使开发人员完美地构建了他们的代码，即使从开发中获得的初始配置是安全的，操作人员仍然有机会更改配置并引入开发和测试过程中不存在的不安全性时期”，韦斯特说。

West认为应用程序配置错误是一个重要问题。他说，开发人员和运营人员之间需要更多的沟通以减轻风险。他建议，操作人员需要更多地了解应用程序的构建方式和正确配置的方式，并且开发人员需要确保操作人员没有机会引入不必要的风险。

MicrosoftIE是首要目标

惠普安全部门开展的众多活动之一是零日倡议(ZDI)，该倡议从研究人员那里购买漏洞。然后，ZDI使用该信息来建立保护，并负责地将信息披露给受影响的供应商。

2013年，与Microsoft的单个产品(包括Oracle的Java)相比，ZDI针对Microsoft的InternetExplorerWeb浏览器提交的漏洞数量更多。1月份，思科的2013年安全报告指出Java是2013年90%以上的泄密事件的罪魁祸首。

West说，InternetExplorer的主导地位(作为向ZDI提交最多的技术)很奇怪，特别是由于近年来随着IE浏览器市场份额的下降，因为Google的Chrome，MozillaFirefox和移动浏览器越来越受欢迎。

那么，为什么IE如此受欢迎?West说，IE用户的个人资料可能是其脆弱性的一个因素。韦斯特说：“这些是对手所追求的用户;他们更可能处于商业环境中。”“IE是攻击者想要破坏的系统上最流行的浏览器。”

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。