Боље корисничко искуство би могло да смањи проблеме безбедности паметног телефона

Многи људи не схватају обим осетљивих информација у својим паметним телефонима и верују да су ови преносиви уређаји инхерентно сигурнији него рачунари, према недавним извештајима.

Док наводе главне проблеме који муче паметне телефоне, извештаји Зимпериум-а и Цибле-а указују на то да ниједна количина уграђене безбедности није довољна да спречи нападаче да компромитују уређај ако власник не предузима кораке да га обезбеди.

„Главни изазов, сматрам, јесте то што корисници не успевају да успоставе личну везу ових најбољих безбедносних пракси са својим личним животима,“ Ависхаи Авиви, ЦИСО ат СафеБреацх, рекао је за Лифевире преко е-поште. „Без разумевања да они имају лични интерес у обезбеђивању својих уређаја, ово ће и даље бити проблем.

Мобиле Тхреатс

Нассер Фаттах, председник Управног одбора Северне Америке у Заједничке оцене, рекао је за Лифевире преко е-поште да нападачи јуре паметне телефоне јер они пружају веома велику површину напада и нуде јединствене векторе напада, укључујући СМС пхисхинг или смисхинг.

Штавише, на мети су обични власници уређаја јер је њима лако манипулисати. Да би се компромитовао софтвер, мора да постоји неидентификована или нерешена грешка у коду, али тактике друштвеног инжењеринга кликни и мамац су зимзелене, Цхрис Гоеттл, потпредседник за управљање производима у Иванти, рекао је за Лифевире путем е-поште.

Тхе Извештај Зимперијума напомиње да је мање од половине (42%) људи применило поправке високог приоритета у року од два дана од њихово објављивање, 28% захтева до недељу дана, док 20% треба чак две недеље да закрпи своје паметни телефони.

„Крајњи корисници, генерално, не воле ажурирања. Они често ометају своје радне (или игре) активности, могу да промене понашање на свом уређају и чак могу да изазову проблеме који могу да буду дуже непријатности“, сматра Гоеттл.

Тхе Цибле репорт поменуо је нови мобилни тројанац који краде кодове за аутентификацију у два фактора (2ФА) и шири се преко лажне МцАфее апликације. Истраживачи схватају да се злонамерна апликација дистрибуира преко других извора осим Гоогле Плаи продавнице, што је нешто што људи никада не би требало да користе и тражи превише дозвола, што никада не би требало да буде одобрено.

Пете Цхестна, ЦИСО Северне Америке на Цхецкмарк, сматра да ћемо ми увек бити најслабија карика у безбедности. Он верује да уређаји и апликације морају да се заштите и лече или да буду отпорни на друге повреде јер већина људи не може да смета. Према његовом искуству, људи су свесни најбољих безбедносних пракси за ствари као што су лозинке, али одлучују да их игноришу.

„Корисници не купују на основу сигурности. Они не користе [то] на основу безбедности. Они сигурно никада не размишљају о безбедности док се њима лично не десе лоше ствари. Чак и после негативног догађаја, њихова сећања су кратка“, приметио је Честна.

Власници уређаја могу бити савезници

Атул Паиапилли, оснивач Проверљиво, на то гледа са другачије тачке гледишта. Читање извештаја га подсећа на често пријављене АВС безбедносне инциденте, рекао је за Лифевире преко е-поште. У овим случајевима, АВС је радио како је дизајниран, а кршења су заправо била резултат лоших дозвола које су поставили људи који користе платформу. На крају, АВС је променио искуство конфигурације како би помогао људима да дефинишу исправне дозволе.

Ово резонује са Рајив Пимпласкар, извршни директор Дисперзивне мреже. „Корисници су фокусирани на избор, погодност и продуктивност, а индустрија сајбер безбедности је одговорност за едукацију, као и стварање амбијента апсолутне сигурности, без компромитовања корисника искуство."

Индустрија би требало да схвати да већина нас нису људи из обезбеђења и не може се очекивати да разумемо теоријске ризике и импликације неуспеха да инсталирамо ажурирање, сматра Ерез Иалон, потпредседник безбедносних истраживања у Цхецкмарк. „Ако корисници могу да поднесу врло једноставну лозинку, они ће то учинити. Ако софтвер може да се користи иако није ажуриран, биће коришћен“, поделио је Иалон са Лифевире-ом путем е-поште.

Гоеттл се ослања на ово и верује да би ефикасна стратегија могла бити ограничавање приступа са уређаја који нису усклађени са стандардима. На пример, уређај који је оштећен из затвора, или онај који има познату лошу апликацију или користи верзију оперативног система која познато је да је изложен, сви могу да се користе као окидачи за ограничавање приступа док власник не исправи безбедносну грешку пас.

Авиви верује да док продавци уређаја и програмери софтвера могу учинити много да минимизирају оно што корисник ће на крају бити изложена, никада не би постојао сребрни метак или технологија која би заиста могла да замени ветваре.

„Особа која може да кликне на злонамерну везу која је прошла све аутоматизоване безбедносне контроле јесте исти онај који то може пријавити и избећи да буде под утицајем нултог дана или технолошке слепе тачке“, рекао је Авиви.