Les applications mobiles attirent tranquillement une attention de plus en plus malveillante – et pour une bonne raison. Ils contiennent une mine d’informations privées sur leurs utilisateurs. Dans l’univers iOS seulement, 82,78%, soit environ 1,55 million d’applications, suivent les données des utilisateurs privés, selon les sujets d’explosion du tracker Trends.
Les applications mobiles se sont également révélées être des surfaces d’attaque particulièrement vulnérables pour les cybercriminels. Les points «invisibles» d’entrée et de sortie dans les applications mobiles peuvent être compromis avant que les outils de sécurité hérités ne détectent même une violation. Ces points incluent les appels API, la synchronisation des arrière-plans et les notifications push.
Satish Swargam, principal consultant en sécurité chez Black Duck Software, une société de sécurité des applications à Burlington, Mass., A expliqué qu’un utilisateur mobile peut accorder des autorisations dans les applications mobiles. « La plupart des utilisateurs n’appliquent pas avec diligence les autorisations et accordent largement les autorisations, permettant aux applications malveillantes d’exploiter ces points invisibles », a-t-il déclaré à Technewsworld.
De plus, les outils hérités n’identifient souvent pas de comportement suspect jusqu’à ce qu’il soit trop tard. La fraude alimentée par AI peut contourner l’authentification multi-facteurs, exploiter les bogues et les vulnérabilités liés à la mémoire et détourner les transactions en temps réel.
«L’IA a changé l’ensemble du paysage pour protéger les consommateurs mobiles, les transactions mobiles, les revenus mobiles et les expériences mobiles. Il a abaissé la barrière à la création d’attaques», a déclaré Tom Tovar, PDG d’AppDome, fabricant d’une plate-forme de sécurité et d’intégration pour les développeurs mobiles et les professionnels des entreprises, à Redwood City, en Californie.
« Je pense que nous avons vu une véritable renaissance sombre autour de l’utilisation de l’IA pour créer des attaques, les améliorer, les amplifier et les prélever contre de plus en plus de consommateurs plus facilement que jamais », a-t-il déclaré à Technewsworld.
« Si vous êtes dans le secteur de la défense, c’est un moment incroyable », a-t-il déclaré. « Mais si vous n’êtes qu’un consommateur quotidien moyen, c’est un moment assez effrayant. »
«Les attaques alimentées par l’IA dans le monde réel et avec les applications mobiles facilitent et plus rapidement les acteurs de menace de compromettre les systèmes», a ajouté Chris Hills, stratège en chef de la sécurité chez Beoreltrust, un fabricant de solutions de gestion des comptes et de vulnérabilité privilégiées à Carlsbad, en Californie.
« L’IA formée à des fins malveillantes peut facilement numériser, découvrir, exposer et exploiter les défauts beaucoup plus rapidement qu’un humain normal ne pourrait jamais jamais », a-t-il déclaré à Technewsworld. « C’est pourquoi le combat pour exploiter l’IA pour de bonnes fins est si important. »
La conception des applications mobiles manque de sécurité intégrée
Les applications mobiles sont des objectifs tentants pour les acteurs de la menace parce qu’ils sont partout et regroupés d’informations précieuses, a déclaré T. Frank Downs, directeur principal des services proactifs chez BlueVoyant, une entreprise de cybersécurité d’entreprise à New York.
« Pensez à toutes les données personnelles auxquelles vos applications ont accès – depuis votre emplacement et vos contacts à vos détails financiers », a-t-il déclaré à Technewsworld. « Avec tout le monde constamment collé à ses téléphones, le potentiel de récolte de données est énorme. De plus, le paysage des applications mobiles est si diversifié, avec de nombreux systèmes d’exploitation et des magasins d’applications, ce qui rend difficile de déployer des mesures de sécurité qui correspondent à chaque scénario. »
De plus, de nombreuses applications mobiles ne sont pas conçues en toute sécurité. «Les applications divulguent tout ce qui a besoin des attaquants sans résistance», a soutenu Chris Wingfield, vice-président principal des innovations chez 360 Privacy, un fournisseur de services de confidentialité et de sécurité numérique à Nashville, Tenn.
« Les applications mobiles émettent constamment des identifiants souples tels que les identifiants d’installation, les métadonnées AD SDK et les charges utiles d’analyse qui exposent l’emplacement des appareils et les données d’empreinte digitale », a-t-il déclaré à Technewsworld. «Rien de tout cela n’a été conçu pour la sécurité, car il a été initialement conçu pour l’attribution.»
« Les acteurs de la menace n’ont pas besoin d’accès racine », a-t-il déclaré. «Ils ont juste besoin de l’échappement des données. Et les applications mobiles leur donnent tranquillement, à grande échelle, à des millions de sessions. C’est l’une des surfaces de recondition les plus fiables utilisées aujourd’hui.»
Tovar a soutenu que le modèle de sécurité pour les applications mobiles est conçu autour de la conformité réglementaire, et non de l’arrêt de la fraude, des prises de compte ou des escroqueries. « C’est un endroit parfait pour les attaquants de passer leur temps », a-t-il déclaré.
« Ils vont suivre l’argent, et si davantage de personnes font des transactions sur des applications mobiles non protégées, c’est un véritable champ vert pour les attaquants », a-t-il ajouté.
Les lacunes de sécurité laissent l’activité dans l’application exposée
Les pirates de Blackhat profitent également de l’accent mis par de nombreuses organisations sur la sécurité des backend au détriment de la sécurité des points finaux.
«De nombreux schémas existants se concentrent sur l’analyse backend ou les signaux de comportement des utilisateurs, qui ne détectent pas ou n’arrêtent pas les menaces qui se produisent directement sur l’appareil ou dans l’application», a expliqué Kern Smith, vice-président de l’ingénierie des solutions mondiales chez Zimperium, une société de sécurité mobile dont le siège est à Dallas.
« Cela laisse des lacunes pour les logiciels malveillants, la manipulation d’exécution et le vol d’identification », a-t-il déclaré à Technewsworld.
Downs a reconnu que les protections côté serveur et l’analyse de l’activité des utilisateurs pour capter des comportements étranges sont des mesures de sécurité cruciales, mais ont ajouté: «Ils manquent souvent la marque lorsqu’il s’agit de sécuriser l’application elle-même – des choses comme la logique des applications, le stockage de données et la communication peuvent toujours être vulnérables. Cette approche backend peut laisser certaines portes ouvertes aux attaquants qui savent comment contourner les défenses traditionnelles.»
Cette approche ignore également ce que de nombreux acteurs malveillants recherchent vraiment. « La plupart des régimes de protection supposent toujours que la menace est basée sur les diplômes », a déclaré Wingfield. «Cependant, le ciblage moderne peut commencer avant même un compte.»
«Les SDK publicitaires, les outils d’analyse et les réseaux d’attribution collectent discrètement un flux de métadonnées – géolocalisation basée sur IP, modèle d’appareil, version du système d’exploitation, fuseau horaire, événements de mouvement et identifiants publicitaires», a-t-il expliqué. « Cette télémétrie quitte l’application immédiatement – non cryptée, non auditée et souvent inaperçue », a-t-il noté.
« Rien ne frappe le backend, donc les outils de fraude traditionnels ne le voient pas, et les modèles comportementaux ne le signalent pas », a-t-il poursuivi. « Pendant ce temps, ce flux est cousu sur les applications pour cartographier le mouvement, inférer des routines et les identités de cluster par lieu et modèle. L’écart n’est pas seulement technique; il est conceptuel. Nous protégeons les références tandis que la télémétrie est ce qui est récolté. »
Les risques côté serveur dominent toujours les menaces mobiles
Néanmoins, il existe une justification solide pour se concentrer sur les applications backend et les API. « L’application mobile a des données pour un utilisateur. Le côté serveur a des données pour tous les utilisateurs », a déclaré Jeff Williams, CTO et co-fondateur de Contrast Security, une société de sécurité d’exécution à Los Altos, en Californie.
« Bien qu’il existe des risques intéressants du côté client, presque tous les risques critiques sont du côté du serveur », a-t-il déclaré à Technewsworld. « Le risque est très asymétrique, et la plupart incombent au serveur. »
« Les opportunités d’attaques directes sur une application mobile sont assez limitées », a-t-il ajouté. « Généralement, les attaquants n’écoutent pas les connexions. Ils contactent à la place les serveurs. »
Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security, un fournisseur de sécurité API à Palo Alto, en Californie, a maintenu la tendance à l’intégration de la protection intégrée aux côtés des mesures de sécurité traditionnelles. « Cette tendance découle de la compréhension que les applications mobiles deviennent de plus en plus sensibles aux attaques qui contournent les défenses backend et frappent directement sur l’application », a-t-il déclaré à Technewsworld.
« La protection dans l’application améliore la sécurité en renforçant l’application contre la falsification, l’ingénierie inverse et les attaques d’exécution », a-t-il déclaré. «Cette méthode est essentielle pour lutter contre le paysage des menaces changeantes et se défendre contre les attaques avancées destinées directement à l’application.»
