En bedre brukeropplevelse kan redusere smarttelefonsikkerhetsproblemer

March 22, 2022
INyheter Internett Sikkerhet

To nylige rapporter fremhever at angripere i økende grad går etter det svakeste leddet i sikkerhetskjeden: mennesker.
Eksperter mener at industrien bør innføre prosesser for å få folk til å følge beste praksis for sikkerhet.
Riktig trening kan gjøre enhetseiere til de sterkeste forsvarerne mot angripere.

Låst telefon med berøringsskjerm liggende på et blått opplyst tastatur — 400tmax / Getty Images

Mange mennesker klarer ikke å sette pris på omfanget av sensitiv informasjon i smarttelefonene sine og tror at disse bærbare enhetene er iboende sikrere enn PC-er, ifølge nylige rapporter.

Mens de lister opp de viktigste problemene som plager smarttelefoner, indikerer rapporter fra Zimperium og Cyble at ingen mengde innebygd sikkerhet er nok til å hindre angripere fra å kompromittere en enhet hvis eieren tar ikke skritt for å sikre den.

"Hovedutfordringen, jeg finner, er at brukere ikke klarer å knytte disse beste praksisene for sikkerhet personlig til sine egne personlige liv," Avishai Avivi, CISO kl SafeBreach, fortalte Lifewire over e-post. "Uten å forstå at de har en personlig eierandel i å gjøre enhetene sine sikre, vil dette fortsette å være et problem."

Mobile trusler

Nasser Fattah, Nord-Amerikas styrekomitéleder kl Delte vurderinger, fortalte Lifewire over e-post at angripere går etter smarttelefoner fordi de gir en veldig stor angrepsoverflate og tilbyr unike angrepsvektorer, inkludert SMS-phishing eller smishing.

Videre er vanlige enhetseiere målrettet fordi de er enkle å manipulere. For å kompromittere programvare, må det være en uidentifisert eller uløst feil i koden, men klikk-og-agn sosial ingeniørtaktikk er eviggrønne, Chris Goettl, VP of Product Management ved Ivanti, fortalte Lifewire via e-post.

"Uten å forstå at de har en personlig eierandel i å gjøre enhetene sine sikre, vil dette fortsette å være et problem."

De Zimperium-rapport bemerker at mindre enn halvparten (42 %) av personene brukte høyprioriterte rettelser innen to dager fra utgivelsen, 28 % krevde opptil en uke, mens 20 % bruker så mye som to uker på å lappe smarttelefoner.

"Sluttbrukere, generelt sett, liker ikke oppdateringer. De forstyrrer ofte arbeids- (eller leke-) aktivitetene deres, kan endre atferd på enheten deres, og kan til og med forårsake problemer som kan være en lengre ulempe," sa Goettl.

De Cyble rapport nevnte en ny mobil trojaner som stjeler tofaktorautentiseringskoder (2FA) og spres gjennom en falsk McAfee-app. Forskerne skjønner at den ondsinnede appen distribueres via andre kilder enn Google Play Store, som er noe folk aldri bør bruke, og ber om for mange tillatelser, som aldri burde være gitt.

Pete Chestna, CISO i Nord-Amerika kl Checkmarx, mener at det er vi som alltid vil være det svakeste leddet innen sikkerhet. Han mener at enheter og apper trenger å beskytte og helbrede seg selv eller på annen måte være motstandsdyktige mot skade siden folk flest ikke kan bli plaget. Han erfarer at folk er klar over de beste sikkerhetspraksisene for ting som passord, men velger å ignorere dem.

"Brukere kjøper ikke basert på sikkerhet. De bruker ikke [det] basert på sikkerhet. De tenker absolutt aldri på sikkerhet før dårlige ting har skjedd med dem personlig. Selv etter en negativ hendelse er minnene deres korte," observerte Chestna.

Enhetseiere kan være allierte

Atul Payapilly, Grunnlegger av Verifiserbart, ser på det fra en annen synsvinkel. Å lese rapportene minner ham om de ofte rapporterte AWS-sikkerhetshendelsene, fortalte han Lifewire over e-post. I disse tilfellene fungerte AWS som designet, og bruddene var faktisk et resultat av dårlige tillatelser satt av folk som brukte plattformen. Etter hvert endret AWS opplevelsen av konfigurasjonen for å hjelpe folk med å definere de riktige tillatelsene.

Dette stemmer med Rajiv Pimplaskar, administrerende direktør i Dispersive nettverk. "Brukere er fokusert på valg, bekvemmelighet og produktivitet, og det er cybersikkerhetsindustriens ansvar for å utdanne, samt skape et miljø med absolutt sikkerhet, uten å kompromittere brukeren erfaring."

Bransjen bør forstå at de fleste av oss ikke er sikkerhetsmennesker, og vi kan ikke forventes å forstå de teoretiske risikoene og implikasjonene ved å unnlate å installere en oppdatering, mener Erez Yalon, VP for sikkerhetsforskning ved Checkmarx. "Hvis brukere kan sende inn et veldig enkelt passord, vil de gjøre det. Hvis programvare kan brukes selv om den ikke ble oppdatert, vil den bli brukt," delte Yalon med Lifewire via e-post.

vektorillustrasjon av hackerfiske med ulåst smarttelefon — id-work / Getty Images

Goettl bygger på dette og mener at en effektiv strategi kan være å begrense tilgangen fra enheter som ikke er kompatible. For eksempel en jailbroken enhet, eller en som har en kjent dårlig applikasjon, eller som kjører en versjon av operativsystemet som er kjent for å være avslørt, kan alle brukes som utløsere for å begrense tilgangen til eieren retter opp sikkerhetsfuksen pas.

Avivi mener at mens enhetsleverandører og programvareutviklere kan gjøre mye for å minimere hva brukeren til slutt vil bli utsatt for, ville det aldri vært en sølvkule eller en teknologi som virkelig kan erstatte våttøy.

"Personen som kan klikke på den ondsinnede lenken som kom forbi alle de automatiserte sikkerhetskontrollene er den samme som kan rapportere det og unngå å bli påvirket av en nulldager eller en teknologiblindsone," sa Avivi.