Bolje korisničko iskustvo moglo bi smanjiti sigurnosne probleme pametnog telefona

March 22, 2022
UVijesti Sigurnost Na Internetu

click fraud protection

Dva nedavna izvješća ističu da napadači sve više idu za najslabijom karikom u sigurnosnom lancu: ljudima.
Stručnjaci vjeruju da bi industrija trebala uvesti procese kako bi se ljudi pridržavali najboljih sigurnosnih praksi.
Pravilna obuka može pretvoriti vlasnike uređaja u najjače branitelje protiv napadača.

Zaključani telefon s dodirnim zaslonom leži na plavo osvijetljenoj tipkovnici — 400tmax / Getty Images

Mnogi ljudi ne shvaćaju opseg osjetljivih informacija u svojim pametnim telefonima i vjeruju da su ti prijenosni uređaji inherentno sigurnije nego računala, prema nedavnim izvješćima.

Dok se navode glavni problemi koji muče pametne telefone, izvješća Zimperiuma i Cyblea pokazuju da nikakva ugrađena sigurnost nije dovoljna da spriječi napadače da kompromitiraju uređaj ako vlasnik ne poduzima korake da ga osigura.

"Glavni izazov, smatram, je to što korisnici ne uspijevaju uspostaviti osobnu vezu ovih najboljih sigurnosnih praksi sa svojim osobnim životima", Avishai Avivi, CISO na SafeBreach, rekao je za Lifewire putem e-pošte. "Bez razumijevanja da imaju osobni ulog u osiguravanju sigurnosti svojih uređaja, ovo će i dalje biti problem."

Mobilne prijetnje

Nasser Fattah, predsjednik Upravnog odbora Sjeverne Amerike na Zajedničke procjene, rekao je za Lifewire putem e-pošte da napadači idu na pametne telefone jer oni pružaju vrlo veliku površinu napada i nude jedinstvene vektore napada, uključujući krađu SMS-a ili smishing.

Nadalje, na meti su obični vlasnici uređaja jer je njima lako manipulirati. Da bi se kompromitirao softver, mora postojati neidentificirani ili neriješeni nedostatak u kodu, ali taktike društvenog inženjeringa klikni i mamac su zimzelene, Chris Goettl, potpredsjednik upravljanja proizvodima na Ivanti, rekao je za Lifewire putem e-pošte.

"Bez razumijevanja da imaju osobni ulog u osiguravanju sigurnosti svojih uređaja, ovo će i dalje biti problem."

The Zimperium izvješće primjećuje da je manje od polovice (42%) ljudi primijenilo popravke visokog prioriteta u roku od dva dana od njihovo izdavanje, 28% zahtijeva do tjedan dana, dok je 20% potrebno čak dva tjedna da zakrpi svoje pametne telefone.

„Krajnji korisnici, općenito, ne vole ažuriranja. Često ometaju svoje radne (ili igre) aktivnosti, mogu promijeniti ponašanje na svom uređaju, pa čak i uzrokovati probleme koji mogu predstavljati dulju neugodnost", smatra Goettl.

The Cyble izvješće spomenuo je novi mobilni trojanac koji krade kodove za autentifikaciju s dva faktora (2FA) i širi se putem lažne McAfee aplikacije. Istraživači shvaćaju da se zlonamjerna aplikacija distribuira putem izvora koji nisu Google Play Store, što je nešto što ljudi nikada ne bi smjeli koristiti i traži previše dopuštenja, što nikada ne bi smjelo biti odobreno.

Pete Chestna, CISO Sjeverne Amerike na Checkmarx, vjeruje da ćemo mi uvijek biti najslabija karika u sigurnosti. Vjeruje da se uređaji i aplikacije moraju štititi i liječiti ili biti otporni na druge štete jer većina ljudi ne može smetati. Prema njegovom iskustvu, ljudi su svjesni najboljih sigurnosnih praksi za stvari poput lozinki, ali ih odlučuju ignorirati.

„Korisnici ne kupuju na temelju sigurnosti. Ne koriste [to] na temelju sigurnosti. Oni sigurno ne razmišljaju o sigurnosti sve dok im se osobno ne dogode loše stvari. Čak i nakon negativnog događaja, njihova su sjećanja kratka”, primijetila je Chestna.

Vlasnici uređaja mogu biti saveznici

Atul Payapilly, osnivač Provjerljivo, gleda na to s druge točke gledišta. Čitanje izvješća podsjeća ga na često prijavljene sigurnosne incidente AWS-a, rekao je za Lifewire putem e-pošte. U tim slučajevima, AWS je radio kako je dizajniran, a kršenja su zapravo rezultat loših dozvola koje su postavili ljudi koji koriste platformu. Konačno, AWS je promijenio doživljaj konfiguracije kako bi pomogao ljudima da definiraju ispravna dopuštenja.

Ovo rezonira sa Rajiv Pimplaskar, izvršni direktor Disperzivne mreže. "Korisnici su usredotočeni na izbor, praktičnost i produktivnost, a to je industrija kibernetičke sigurnosti odgovornost educirati, kao i stvoriti okruženje apsolutne sigurnosti, bez kompromitiranja korisnika iskustvo."

Industrija bi trebala shvatiti da većina nas nisu ljudi iz sigurnosti i ne može se očekivati da razumijemo teoretske rizike i implikacije neuspjeha instaliranja ažuriranja, smatra Erez Yalon, potpredsjednik sigurnosnih istraživanja na Checkmarx. „Ako korisnici mogu poslati vrlo jednostavnu lozinku, to će i učiniti. Ako se softver može koristiti iako nije ažuriran, bit će korišten", podijelio je Yalon s Lifewireom putem e-pošte.

vektorska ilustracija hakerskog ribolova s otključanim pametnim telefonom — id-work / Getty Images

Goettl se na tome nadoveže i vjeruje da bi učinkovita strategija mogla biti ograničavanje pristupa s uređaja koji nisu usklađeni. Na primjer, jailbreak uređaj, ili onaj koji ima poznatu lošu aplikaciju ili izvodi verziju OS-a koja poznato je da je izložen, svi se mogu koristiti kao okidači za ograničavanje pristupa dok vlasnik ne ispravi sigurnosnu pogrešku pas.

Avivi vjeruje da dok dobavljači uređaja i programeri softvera mogu učiniti mnogo kako bi minimizirali ono što korisnik ima će u konačnici biti izloženi, nikada ne bi postojao srebrni metak ili tehnologija koja uistinu može zamijeniti wetware.

"Osoba koja može kliknuti na zlonamjernu vezu koja je prošla sve automatizirane sigurnosne kontrole jest isti onaj koji to može prijaviti i izbjeći utjecaj nultog dana ili tehnološke slijepe točke", rekao je Avivi.