移动应用安全：2021年的安全漏洞

通过测试、培训和认真对待应用程序安全，去年可以避免发生许多最大的应用程序泄露事件。

2021年，当全世界都在关注软件供应链攻击时，另一个领域同样也受到了围攻：移动应用。

到2020年，移动应用的下载量将超过2000亿次，这意味着移动应用面临着复杂的网络攻击。Verizon调查的四分之一的公司遭遇过移动或物联网数据泄露。

回顾一下2021年最严重的移动数据泄露事件，我们可以从中看出今年的情况。从Amazon Ring
和Slack等企业巨头，到美国海关和边境保护局(CBP)，这些移动应用程序入侵成为新闻头条。

Amazon Ring应用程序泄露数据

2021年1月，Amazon Ring Nei***ors
应用程序中的一个安全漏洞泄露了在该应用程序上发帖的用户的确切位置和地址。尽管用户帖子是公开的，但该应用程序通常不会显示准确的位置。该漏洞并未向应用程序用户显示数据，而是收集了隐藏数据，包括用户的纬度、经度和家庭住址。尽管自推出以来一直困扰着Amazon
Ring Nei***ors 和摄像头的安全问题，但Ring Nei***ors应用程序在2020年达到了1000万用户。

Slack移动应用程序公开用户凭据

据去年1月的报道，Android移动应用程序的一个安全漏洞记录了设备上的明文用户凭证。受影响的客户被要求重置密码并擦除应用程序数据日志。Slack号称拥有超过1200万的日常用户。

SHAREit文件共享应用程序易受远程代码执行攻击

2月，ZDNet报道称，下载量超过10亿的Android文件共享应用程序中的漏洞已3个月没被修复。SHAREit应用程序的开发人员忽略了一个可能被利用在智能手机上运行恶意代码的漏洞。SHAREit最终修复了漏洞，但在此之前，该代码已被数百万人共享。

13款Android应用程序泄露数百万用户数据

当移动应用程序开发人员无法确保通信安全时，会发生什么?这可能是2021年最大的手机入侵报告之一。今年4月，Check Point
Research报告称，13款流行的Android应用程序泄露了多达1亿用户的数据。开发商未能保护第三方云服务，导致包括电子邮件、聊天信息、密码和照片在内的个人数据泄露。

ParkMobile漏洞影响2100万用户

KrebsOnSecurity在黑市上发现了多达2100万名停车应用程序用户的账户信息。ParkMobile的开发者随后发现，第三方软件泄露了包括客户电子邮件地址、电话号码和车牌号在内的个人数据。ParkMobile现在因泄露用户数据而面临集体诉讼。

Klarna支付应用程序暴露用户余额

5月，Klarna的一款手机银行应用程序遭遇了安全漏洞，引发了广大客户的困惑。这款应用的用户只是短暂地看到了其他用户的账户信息，而不是自己的。根据Klarna的披露，人为错误导致信息以一种意想不到的方式被缓存。这起事件发生在Klarna获得6.39亿美元新投资后不久。

COVID Passport应用程序暴露用户

在黑客利用疫情的另一个例子中，加拿大COVID疫苗接种**移动应用程序Portpass泄露了65万名用户的个人数据。任何人都可以访问其网站上的个人资料，而这款移动应用程序不加密个人数据，而是以明文形式存储。

漏洞应用造成漏洞边界

美国海关与边境保护局(CBP)开发的6款手机**控制应用程序泄露了多达1000万名旅行者的个人信息。一项审计发现，CBP未能扫描2016年至2019年间发布的91%的应用程序更新来检测漏洞。

Apple iMessage中的零日漏洞影响了9亿台设备

作为今年最大的移动漏洞之一，Apple修复了iMessage中的一个0day漏洞，该漏洞使
iPhone、iPad、Watches和MacBooks的所有9亿活跃用户暴露在NSO集团的间谍软件之下。NSO利用这一漏洞监视政治活动人士。

安全问题

今年许多最大的违规事件都来自我们年复一年看到的相同漏洞。大多数可以通过静态代码安全检测、动态移动应用程序安全测试、对移动开发人员的更好培训以及更加重视移动应用程序安全的意愿来预防。在通常的嫌疑人中：