Καθώς όλο και περισσότεροι άνθρωποι χρησιμοποιούν εφαρμογές στα κινητά τηλέφωνά τους, οι εγκληματίες του κυβερνοχώρου συνεχίζουν να αναπτύσσουν νέες μεθόδους, για την εκμετάλλευση των τρωτών σημείων των εν λόγω εφαρμογών.
Πιο συγκεκριμένα, το 2022, οι κυβερνοεπιθέσεις αυξήθηκαν κατά 38%, σε σχέση με το προηγούμενο έτος, ενώ ο αριθμός των νέων παραλλαγών κακόβουλου λογισμικού για κινητά, είχε αυξηθεί κατά 54%, το 2019. Η τεχνολογία θωράκισης εφαρμογών, Promon, δοκίμασε πρόσφατα 357 επικερδή παιχνίδια για κινητά Android, ώστε να εξετάσει τα επίπεδα ασφάλειάς τους.
Τα αποτελέσματα της έρευνας, έδειξαν πως το 81% των εφαρμογών είχαν μηδενική άμυνα ενάντια σε τέτοιου είδους επιθέσεις. Σε αυτό το άρθρο θα ερευνήσουμε περαιτέρω το πόσο ευάλωτες είναι οι εφαρμογές κινητών σε κυβερνοεπιθέσεις και ποια είναι η θέση των προγραμματιστών στο ζήτημα αυτό.
«Ανυπεράσπιστες» εφαρμογές
Στην εξέταση τεσσάρων βημάτων του Promon, μία από τις δοκιμές αφορούσε στην «επανασυσκευασία», μια τεχνική που χρησιμοποιείται από κακόβουλους παράγοντες για την τροποποίηση του υπάρχοντος πηγαίου κώδικα των εφαρμογών. Με αυτήν την τεχνική, οι χάκερ μπορούν να εισαγάγουν τον δικό τους κώδικα πάνω στον πηγαίο κώδικα μιας εφαρμογής και να εκτελέσουν πρόσθετες εργασίες παρασκηνίου, εκτός των προβλεπόμενων λειτουργιών της.
Αυτό, ανοίγει την πόρτα στους εγκληματίες του κυβερνοχώρου για να κλέψουν δεδομένα, όπως τα στοιχεία σύνδεσης χρήστη, μέσω μιας τακτικής που ονομάζεται «γέμιση διαπιστευτηρίων». Οι δοκιμές αποκάλυψαν ότι ένα συγκλονιστικά μεγάλο ποσοστό του 84% των εφαρμογών, δεν είχε την ικανότητα να ανιχνεύσει εάν επιβλαβής κώδικας είχε εισαχθεί στον πηγαίο, καθιστώντας το, έτσι, ευάλωτο σε μια σειρά από κυβερνοεπιθέσεις.
Γιατί οι προγραμματιστές πρέπει να αντιμετωπίσουν τις κυβερνοεπιθέσεις;
Το έγκλημα στον κυβερνοχώρο που σχετίζεται με παιχνίδια, ενδέχεται να είναι καταστροφικό για προγραμματιστές και δημιουργούς, καθώς πολλές εφαρμογές αποτυγχάνουν να παρέχουν μια ασφαλή εμπειρία και η εμπιστοσύνη των καταναλωτών μειώνεται. Επιπλέον, εργαλεία, όπως το hooking, μπορούν να τροποποιήσουν τον κώδικα του παιχνιδιού και να δώσουν στους παίκτες ένα αθέμιτο πλεονέκτημα, καθώς μπορούν να εξαιρεθούν από τις αγορές εντός του παιχνιδιού.
Αυτό, προκαλεί τεράστια απώλεια εσόδων στους προγραμματιστές. Ακόμα χειρότερα, τα πλαίσια σύνδεσης μπορούν να χρησιμοποιηθούν για την εξαγωγή ευαίσθητων δεδομένων, όπως τον ιδιόκτητο κώδικα του παιχνιδιού, τα δεδομένα του χρήστη ή κρυπτογραφικά κλειδιά, εκθέτοντας τους προγραμματιστές σε κινδύνους ασφαλείας και κλοπή IP. Εάν τα παιχνίδια είναι γνωστό ότι είναι ευάλωτα, κινδυνεύουν να χάσουν τη φήμη τους και την εμπιστοσύνη των παικτών, προκαλώντας μόνιμη ζημιά στον εκάστοτε προγραμματιστή.
Οι δηλώσεις του συντονιστή της έρευνας ασφάλειας
«Μείναμε έκπληκτοι με το πόσα παιχνίδια για κινητά είχαν κενό, όσον αφορά στην προστασία στον κυβερνοχώρο. Από τεχνική άποψη, δεν πρόκειται για πολύπλοκες επιθέσεις», λέει ο Benjamin Adolphi, επικεφαλής της έρευνας ασφάλειας στην Promon. «Πρόκειται για βασικά εργαλεία και τεχνικές που αξιοποιούνται καθημερινά από τους εγκληματίες του κυβερνοχώρου και η προστασία από αυτά, θα πρέπει να αποτελεί προτεραιότητα για τους προγραμματιστές, κατά τη δημιουργία των εφαρμογών τους.
Εφόσον οι εταιρείες παιχνιδιών για κινητά προσελκύουν εκατομμύρια παίκτες, θα πρέπει να εξετάσουν το ενδεχόμενο να γεφυρώσουν το χάσμα μεταξύ της προστασίας και της διασφάλισης. Κάτι τέτοιο, όχι μόνο θα προστατεύσει την εμπειρία του παιχνιδιού, αλλά θα διασφαλίσει τη φήμη της εταιρείας και την αύξηση των εσόδων της», συμπληρώνει.
Πηγή: www.businessofapps.com
