Rutovani telefoni su raj za hakere: Ni Android ni iOS više ne garantuje bezbednost!
Digitalna bezbednost korisnika širom sveta nalazi se na klimavim nogama, upozorava najnoviji Zimperium Global Mobile Threat Report za 2025. godinu. Istraživanje otkriva zabrinjavajuće propuste u sigurnosnim mehanizmima mobilnih aplikacija, posebno u načinu na koji koriste API-je koji često ostaju nezaštićeni i ranjivi.
Posledice su ozbiljne, osetljivi podaci korisnika „cure“ iz čak jedne od tri Android aplikacije, dok je situacija još gora u iOS svetu, gde više od polovine aplikacija omogućava curenje informacija upravo kroz nesigurne API-je. Napadači ovu slabost koriste za krađu podataka, dok sistemi zaštite ne uspevaju da razlikuju regularne aplikacije od onih koje su kompromitovane.
"Hardkodovane" tajne kao sigurnosna bomba koja otkucava
Skoro polovina svih aplikacija na tržištu sadrži ono što stručnjaci nazivaju hardkodovane tajne, poverljive informacije kao što su API ključevi koji su direktno urezani u kod aplikacije. Ove „digitalne šifre“ često ostaju nezaštićene, što omogućava hakerima da pomoću reverznog inženjeringa dođu do njih.
Zahvaljujući ovim podacima, napadači mogu da pristupe funkcijama koje bi trebalo da su rezervisane isključivo za aplikaciju, zloupotrebljavajući ih za širenje napada, lažne transakcije ili potpunu kompromitaciju sistema. Za korisnike to znači rizik od krađe identiteta, dok preduzeća mogu trpeti ogromne reputacione i finansijske štete.
Rizični uređaji, rutovanje, jailbreak i kompromitovani telefoni
Iako se često misli da su sami uređaji sigurni sve dok aplikacije nisu problematične, podaci pokazuju drugačiju sliku. Prema Zimperium-u, 1 od 400 Android uređaja je rutovan, što znači da korisnik ili napadač ima potpunu kontrolu nad sistemom. Kod iOS-a, 1 od 2500 uređaja je prošao kroz jailbreak.
Još ozbiljnije, izveštaj otkriva da je 3 od 1000 mobilnih uređaja već kompromitovano, što ih čini savršenim oruđem za sajber napade. Na ovim uređajima čak i aplikacije sa visokim nivoom zaštite mogu postati ranjive, jer napadač ima direktan pristup sistemu i aplikacijama.
Finansijske i turističke aplikacije pod posebnim udarom
Aplikacije koje se koriste za osetljive aktivnosti, poput plaćanja ili planiranja putovanja, posebno su ugrožene. Zimperium navodi da je jedna od tri Android aplikacije za finansije ranjiva na takozvane man-in-the-middle napade, u kojima haker presreće komunikaciju između korisnika i servera.
Kod iOS aplikacija, jedna od pet aplikacija za putovanja izložena je istim napadima. Ova vrsta ranjivosti omogućava neovlašćeni pristup podacima kao što su brojevi kreditnih kartica, lične informacije i planovi putovanja, bez da korisnik išta primeti.
Stručnjaci poručuju, zaštita mora da počne iznutra
Osnovna zaštita uređaja ostaje prvi korak, uključivanje zaključavanja ekrana, pravovremena instalacija ažuriranja i izbegavanje rutovanja ili jailbreakovanja su ključni. Međutim, to nije dovoljno. Prava bezbednost, upozoravaju iz Zimperium-a, mora da se gradi unutar same aplikacije.
Kao odgovor na sve češće napade, stručnjaci predlažu dva ključna pristupa:
- Ojačavanje API-ja, obfuskacija koda, sigurno skladištenje i zaštita u realnom vremenu.
- Atestacija aplikacija, potvrda da svaki API poziv dolazi iz originalne, neizmenjene aplikacije.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
