Boljša uporabniška izkušnja bi lahko zmanjšala težave z varnostjo pametnega telefona

March 22, 2022
VNovice Internet In Varnost

Dve nedavni poročili poudarjata, da napadalci vse bolj iščejo najšibkejši člen v varnostni verigi: ljudi.
Strokovnjaki menijo, da bi morala industrija uvesti postopke, s katerimi bi ljudi spoštovali najboljše varnostne prakse.
Ustrezno usposabljanje lahko lastnike naprav spremeni v najmočnejše branilce pred napadalci.

Zaklenjen telefon z zaslonom na dotik, ki leži na modro osvetljeni tipkovnici — 400tmax / Getty Images

Mnogi ljudje ne razumejo obsega občutljivih informacij v svojih pametnih telefonih in verjamejo, da so te prenosne naprave sama po sebi bolj varna kot osebni računalniki, glede na nedavna poročila.

Medtem ko navajajo glavne težave s pametnimi telefoni, poročila Zimperium in Cyble kažejo, da nobena količina vgrajene varnosti ni dovolj, da bi preprečila napadalcem, da bi ogrozili napravo, če lastnik ne ukrepa, da bi ga zavaroval.

"Glavni izziv se mi zdi, da uporabniki ne uspejo osebno povezati teh najboljših varnostnih praks s svojim osebnim življenjem," Avishai Avivi, CISO na SafeBreach, je za Lifewire povedal po elektronski pošti. "Ne da bi razumeli, da imajo osebni interes pri zagotavljanju varnosti svojih naprav, bo to še naprej težava."

Mobilne grožnje

Nasser Fattah, predsednik usmerjevalnega odbora Severne Amerike pri Skupne ocene, je za Lifewire po e-pošti povedal, da napadalci iščejo pametne telefone, ker zagotavljajo zelo veliko površino napada in ponujajo edinstvene vektorje napadov, vključno z lažnim predstavljanjem SMS-ov ali smishingom.

Poleg tega so tarča običajnih lastnikov naprav, ker je z njimi enostavno manipulirati. Da bi ogrozili programsko opremo, mora obstajati neznana ali nerazrešena napaka v kodi, vendar so taktike socialnega inženiringa klikni in vabi vedno zelene, Chris Goettl, podpredsednik produktnega managementa pri Ivanti, je povedal Lifewire po e-pošti.

"Ne da bi razumeli, da imajo osebni interes pri zagotavljanju varnosti svojih naprav, bo to še naprej težava."

The Poročilo Zimperium ugotavlja, da je manj kot polovica (42 %) ljudi uporabila popravke visoke prioritete v dveh dneh od njihovo izdajo, 28 % zahteva do enega tedna, medtem ko 20 % potrebuje kar dva tedna, da popravi svoje pametni telefoni.

"Končni uporabniki na splošno ne marajo posodobitev. Pogosto motijo svoje delovne (ali igralne) dejavnosti, lahko spremenijo vedenje na svoji napravi in lahko celo povzročijo težave, ki so lahko daljše neprijetnosti,« je menil Goettl.

The Cyble poročilo omenil nov mobilni trojanec, ki ukrade kode za dvofaktorsko preverjanje pristnosti (2FA) in se širi prek ponarejene aplikacije McAfee. Raziskovalci razumejo, da se zlonamerna aplikacija distribuira prek virov, ki niso Google Play Store, česar ljudje nikoli ne bi smeli uporabljati, in zahteva preveč dovoljenj, kar pa nikoli ne bi smelo biti odobreno.

Pete Chestna, CISO Severne Amerike na Checkmarx, verjame, da bomo mi tisti, ki bomo vedno najšibkejši člen varnosti. Prepričan je, da se morajo naprave in aplikacije zaščititi in zdraviti same ali biti kako drugače odporne na škodo, saj večine ljudi ni mogoče motiti. Po njegovih izkušnjah se ljudje zavedajo najboljših varnostnih praks za stvari, kot so gesla, vendar se odločijo, da jih prezrejo.

"Uporabniki ne kupujejo na podlagi varnosti. Ne uporabljajo [tega] zaradi varnosti. O varnosti zagotovo ne razmišljajo, dokler se jim osebno ne zgodijo slabe stvari. Tudi po negativnem dogodku so njihovi spomini kratki,« je opazil Chestna.

Lastniki naprav so lahko zavezniki

Atul Payapilly, ustanovitelj Preverljivo, na to gleda z drugega zornega kota. Branje poročil ga spomni na pogosto poročane varnostne incidente AWS, je povedal za Lifewire po e-pošti. V teh primerih je AWS deloval, kot je bilo zasnovano, in kršitve so bile dejansko posledica slabih dovoljenj, ki so jih določili ljudje, ki uporabljajo platformo. Sčasoma je AWS spremenil izkušnjo konfiguracije, da bi ljudem pomagal določiti pravilna dovoljenja.

To odmeva z Rajiv Pimplaskar, izvršni direktor Disperzivna omrežja. "Uporabniki so osredotočeni na izbiro, udobje in produktivnost, in to je industrija kibernetske varnosti odgovornost za izobraževanje, kot tudi ustvarjanje okolja absolutne varnosti, brez ogrožanja uporabnika izkušnje."

Industrija bi morala razumeti, da večina od nas ni varnostnikov, in ni mogoče pričakovati, da bomo razumeli teoretična tveganja in posledice nenamestitve posodobitve, meni Erez Yalon, podpredsednik varnostnih raziskav pri Checkmarx. "Če lahko uporabniki predložijo zelo preprosto geslo, bodo to storili. Če je mogoče uporabiti programsko opremo, čeprav ni bila posodobljena, bo uporabljena,« je Yalon delil z Lifewire po e-pošti.

vektorska ilustracija hekerskega ribolova z odklenjenim pametnim telefonom — id-work / Getty Images

Goettl gradi na tem in verjame, da bi lahko bila učinkovita strategija omejevanje dostopa neskladnih naprav. Na primer, naprava z jailbreakdom ali tista, ki ima znano slabo aplikacijo ali izvaja različico operacijskega sistema, ki je znano, da je izpostavljeno, se lahko vsi uporabijo kot sprožilci za omejitev dostopa, dokler lastnik ne popravi varnostne napake pas.

Avivi verjame, da lahko prodajalci naprav in razvijalci programske opreme veliko storijo, da zmanjšajo tisto, kar uporabnik ima bo na koncu izpostavljena, nikoli ne bi bilo srebrne krogle ali tehnologije, ki bi lahko resnično nadomestila mokra oprema.

"Oseba, ki lahko klikne na zlonamerno povezavo, ki je prešla vse avtomatizirane varnostne kontrole, je isti, ki ga lahko prijavi in se izogne vplivu ničelnega dne ali tehnološke slepe točke,« je dejal Avivi.