Podatności (Top 10)

Nieprawidłowe zarządzanie danymi uwierzytelniającymi, takie jak hardcoded credentials, brak szyfrowania transmisji lub przechowywanie haseł na urządzeniu. Podatność umożliwia przejęcie kont, kradzież danych i nieautoryzowany dostęp do aplikacji.

Słabości bezpieczeństwa w łańcuchu dostaw, które mogą wpływać na aplikację mobilną. Podatność polega na braku odpowiedniego zabezpieczenia np. podatne lub złośliwe biblioteki, brak kontroli kodu, złośliwe zmiany podczas budowania aplikacji.

Podatność występuje, gdy aplikacja mobilna nieprawidłowo weryfikuje tożsamość użytkownika (authentication) lub nie sprawdza jego uprawnień (authorization). Może to prowadzić do przejęcia kont, wykonania operacji administracyjnych lub dostępu do danych przez osoby nieuprawnione.

Podatność polega na braku odpowiedniego sprawdzania danych wejściowych (input) oraz wyjściowych (output), co może prowadzić do ataków takich jak SQL injection, command injection, XSS, a także do wykonania złośliwego kodu, naruszenia integralności danych lub przejęcia systemu.

Podatność polega na przesyłaniu danych między aplikacją mobilną a serwerem lub innym urządzeniem w sposób niezabezpieczony (np. bez SSL/TLS lub z błędną walidacją certyfikatów). Może to prowadzić do przechwycenia poufnych danych, kradzieży tożsamości i ataków typu man-in-the-middle.

Podatność polega na niewystarczającej ochronie danych osobowych (PII), takich jak dane logowania, lokalizacja, dane zdrowotne, płatnicze czy identyfikatory użytkownika. Brak właściwych kontroli prywatności może prowadzić do naruszeń poufności, integralności lub dostępności danych użytkowników.

Podatność polega na braku zabezpieczeń aplikacji binarnej przed inżynierią wsteczną, manipulacją kodu i nieautoryzowanym rozpowszechnianiem. Atakujący mogą uzyskać dostęp do zaszytych sekretów (np. kluczy API), ominąć licencje lub zmodyfikować aplikację i wprowadzić ją ponownie do obiegu jako złośliwą kopię.

Podatność polega na błędnej lub nieoptymalnej konfiguracji aplikacji mobilnej, np. pozostawieniu domyślnych ustawień, zbędnych uprawnień, debugowania w wersji produkcyjnej lub niezabezpieczonej komunikacji. Może to prowadzić do przejęcia kont, wycieku danych i eskalacji uprawnień.

Podatność polega na niewłaściwym przechowywaniu danych w aplikacji mobilnej — np. brak szyfrowania, zapisywanie haseł w postaci jawnej, czy brak kontroli dostępu. Umożliwia to atakującym nieautoryzowany dostęp do danych wrażliwych, co może prowadzić do naruszeń prywatności, kradzieży tożsamości i strat finansowych.

Podatność polega na stosowaniu słabych, przestarzałych lub błędnie zaimplementowanych algorytmów kryptograficznych. Może to prowadzić do odszyfrowania danych, naruszenia ich integralności, podszywania się pod użytkownika lub naruszenia poufności.