ประสบการณ์ผู้ใช้ที่ดีขึ้นสามารถลดปัญหาความปลอดภัยของสมาร์ทโฟนได้

March 22, 2022
ในข่าว อินเทอร์เน็ตและความปลอดภัย

click fraud protection

รายงานล่าสุดสองฉบับระบุว่าผู้โจมตีกำลังดำเนินการตามลิงก์ที่อ่อนแอที่สุดในห่วงโซ่ความปลอดภัยมากขึ้น นั่นคือผู้คน
ผู้เชี่ยวชาญเชื่อว่าอุตสาหกรรมควรแนะนำกระบวนการเพื่อให้ผู้คนปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย
การฝึกที่เหมาะสมสามารถเปลี่ยนเจ้าของอุปกรณ์ให้เป็นผู้พิทักษ์ที่แข็งแกร่งที่สุดจากผู้โจมตี

โทรศัพท์หน้าจอสัมผัสที่ล็อกไว้นอนอยู่บนแป้นพิมพ์เรืองแสงสีน้ำเงิน — รูปภาพ 400tmax / Getty

หลายคนไม่เห็นคุณค่าของข้อมูลที่ละเอียดอ่อนในสมาร์ทโฟนและเชื่อว่าอุปกรณ์พกพาเหล่านี้ ปลอดภัยมากขึ้นโดยเนื้อแท้ กว่าพีซีตามรายงานล่าสุด

ในขณะที่ระบุปัญหาหลักที่ทำให้เกิดปัญหากับสมาร์ทโฟน รายงานจาก Zimperium และ Cyble ระบุว่าไม่มีการรักษาความปลอดภัยในตัวเพียงพอที่จะป้องกันผู้โจมตีจากการประนีประนอมอุปกรณ์หาก เจ้าของไม่ทำตามขั้นตอนเพื่อรักษาความปลอดภัย.

"ความท้าทายหลักที่ฉันพบคือผู้ใช้ไม่สามารถเชื่อมโยงแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเหล่านี้กับชีวิตส่วนตัวของพวกเขาได้" อวิชัย อาวีวิ, CISO ที่ SafeBreakบอก Lifewire ทางอีเมล “หากไม่เข้าใจว่าพวกเขามีส่วนได้ส่วนเสียในการทำให้อุปกรณ์ปลอดภัย สิ่งนี้จะยังคงเป็นปัญหาต่อไป”

ภัยคุกคามมือถือ

นัสเซอร์ ฟัตตาห์, ประธานคณะกรรมการกำกับอเมริกาเหนือที่

การประเมินร่วมกันบอกกับ Lifewire ทางอีเมลว่าผู้โจมตีไล่ตามสมาร์ทโฟนเพราะพวกเขามีพื้นผิวการโจมตีที่ใหญ่มากและนำเสนอเวกเตอร์การโจมตีที่ไม่เหมือนใคร รวมถึงการฟิชชิ่ง SMS หรือการสมิชชิ่ง

นอกจากนี้ เจ้าของอุปกรณ์ทั่วไปยังตกเป็นเป้าหมายเนื่องจากจัดการได้ง่าย ในการประนีประนอมซอฟต์แวร์ จำเป็นต้องมีข้อบกพร่องที่ไม่สามารถระบุได้หรือยังไม่ได้แก้ไขในโค้ด แต่กลวิธีวิศวกรรมทางสังคมแบบคลิกและเหยื่อนั้นไม่เปลี่ยนแปลง Chris Goettl, VP of Product Management ที่ อิวานตีบอกกับ Lifewire ทางอีเมล

“หากไม่เข้าใจว่าพวกเขามีส่วนได้ส่วนเสียในการทำให้อุปกรณ์ปลอดภัย สิ่งนี้จะยังคงเป็นปัญหาต่อไป”

ดิ รายงานซิมพีเรียม ตั้งข้อสังเกตว่าน้อยกว่าครึ่ง (42%) ของคนที่ใช้การแก้ไขที่มีลำดับความสำคัญสูงภายในสองวันจาก การปล่อยของพวกเขา 28% ต้องใช้เวลาถึงหนึ่งสัปดาห์ในขณะที่ 20% ใช้เวลามากถึงสองสัปดาห์ในการแก้ไข สมาร์ทโฟน

"ผู้ใช้ปลายทางโดยทั่วไปไม่ชอบการอัปเดต พวกเขามักจะขัดขวางกิจกรรมการทำงาน (หรือการเล่น) ของพวกเขา สามารถเปลี่ยนพฤติกรรมบนอุปกรณ์ของพวกเขา และอาจทำให้เกิดปัญหาที่อาจสร้างความไม่สะดวกอีกต่อไป" Goettl ให้ความเห็น

ดิ รายงานวงจร กล่าวถึงโทรจันมือถือตัวใหม่ที่ขโมยรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) และแพร่กระจายผ่านแอพ McAfee ปลอม นักวิจัยเข้าใจว่าแอปที่เป็นอันตรายนั้นเผยแพร่ผ่านแหล่งอื่นที่ไม่ใช่ Google Play Store ซึ่งเป็นสิ่งที่คนไม่ควรใช้และขออนุญาตมากเกินไปซึ่งไม่ควรจะเป็น ได้รับ.

พีท เชสน่า, CISO แห่งอเมริกาเหนือที่ Checkmarxเชื่อว่าเป็นเราที่จะเป็นจุดอ่อนด้านความปลอดภัยอยู่เสมอ เขาเชื่อว่าอุปกรณ์และแอปจำเป็นต้องปกป้องและรักษาตัวเอง หรือไม่เช่นนั้นก็มีความยืดหยุ่นต่ออันตราย เนื่องจากคนส่วนใหญ่ไม่สามารถถูกรบกวนได้ จากประสบการณ์ของเขา ผู้คนต่างตระหนักดีถึงแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับสิ่งต่างๆ เช่น รหัสผ่าน แต่เลือกที่จะเพิกเฉย

"ผู้ใช้ไม่ได้ซื้อตามความปลอดภัย พวกเขาไม่ได้ใช้ [it] ตามความปลอดภัย พวกเขาไม่เคยคิดเกี่ยวกับความปลอดภัยอย่างแน่นอน จนกว่าจะมีสิ่งเลวร้ายเกิดขึ้นกับพวกเขาเป็นการส่วนตัว แม้หลังจากเหตุการณ์เชิงลบ ความทรงจำของพวกเขาก็ยังสั้น" เชสน่าตั้งข้อสังเกต

เจ้าของอุปกรณ์สามารถเป็นพันธมิตรได้

อาตุล พายาพิลย์, ผู้ก่อตั้ง ตรวจสอบได้, มองจากมุมที่ต่างออกไป การอ่านรายงานทำให้เขานึกถึงเหตุการณ์ด้านความปลอดภัยของ AWS ที่มีการรายงานบ่อยครั้ง เขาบอกกับ Lifewire ทางอีเมล ในกรณีเหล่านี้ AWS ทำงานตามที่ออกแบบไว้ และการละเมิดก็เป็นผลมาจากการอนุญาตที่ไม่ถูกต้องซึ่งกำหนดโดยผู้ใช้แพลตฟอร์ม ในที่สุด AWS ก็เปลี่ยนประสบการณ์การกำหนดค่าเพื่อช่วยให้ผู้คนกำหนดสิทธิ์ที่ถูกต้อง

สิ่งนี้สะท้อนกับ Rajiv Pimplaskar, CEO ของ เครือข่ายกระจาย. "ผู้ใช้ให้ความสำคัญกับทางเลือก ความสะดวก และประสิทธิภาพการทำงาน และเป็นอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ ความรับผิดชอบในการให้ความรู้ตลอดจนสร้างสภาพแวดล้อมการรักษาความปลอดภัยที่สมบูรณ์โดยไม่กระทบต่อผู้ใช้ ประสบการณ์."

อุตสาหกรรมควรเข้าใจว่าพวกเราส่วนใหญ่ไม่ใช่คนรักษาความปลอดภัย และเราไม่สามารถคาดหวังให้เข้าใจความเสี่ยงทางทฤษฎีและนัยของความล้มเหลวในการติดตั้งการอัปเดตได้ เชื่อ เอเรซ ยาลอน, VP of Security Research ที่ Checkmarx. "หากผู้ใช้ส่งรหัสผ่านง่ายๆ ได้ พวกเขาก็จะทำเช่นนั้น หากซอฟต์แวร์สามารถใช้ได้แม้ว่าจะไม่ได้อัปเดต ซอฟต์แวร์ก็จะถูกนำมาใช้" Yalon แชร์กับ Lifewire ทางอีเมล

ภาพเวกเตอร์ของการตกปลาของแฮ็กเกอร์ด้วยสมาร์ทโฟนที่ปลดล็อค — id-work / Getty Images

Goettl ต่อยอดจากสิ่งนี้และเชื่อว่ากลยุทธ์ที่มีประสิทธิภาพคือการจำกัดการเข้าถึงจากอุปกรณ์ที่ไม่เป็นไปตามข้อกำหนด ตัวอย่างเช่น อุปกรณ์เจลเบรกหรืออุปกรณ์ที่รู้จักแอปพลิเคชันที่ไม่ดี หรือกำลังใช้งานระบบปฏิบัติการเวอร์ชันนั้น เป็นที่รู้กันว่าถูกเปิดเผย สามารถใช้เป็นทริกเกอร์เพื่อจำกัดการเข้าถึงได้จนกว่าเจ้าของจะแก้ไขการรักษาความปลอดภัย faux ผ่าน

Avivi เชื่อว่าในขณะที่ผู้จำหน่ายอุปกรณ์และนักพัฒนาซอฟต์แวร์สามารถทำอะไรได้มากมายเพื่อช่วยลดสิ่งที่ผู้ใช้ จะถูกเปิดเผยในที่สุด จะไม่มีกระสุนเงินหรือเทคโนโลยีใดมาแทนที่ได้อย่างแท้จริง เครื่องเปียก

"บุคคลที่อาจคลิกลิงก์ที่เป็นอันตรายซึ่งผ่านการควบคุมความปลอดภัยอัตโนมัติทั้งหมดคือ แบบเดียวกับที่สามารถรายงานและหลีกเลี่ยงการได้รับผลกระทบจากจุดบอดของเทคโนโลยีหรือซีโร่เดย์”. กล่าว อาวีวี่.