Baris default: FTC, kredit Karma dan Fantango Sslighted mengatakan bagaimana mengatakan pengaturan keamanan
Bayangkan penjaga pintu yang menantang di pesta swasta. Ketika seseorang mengklaim sebagai tamu, penjaga pintu memeriksa undangan dan berlari terhadap nama -nama dalam daftar. Jika dia tidak cocok, orang tersebut tidak melewati tali beludru. Tetapi bagaimana jika doorman tidak melakukan pekerjaannya? Lompatannya memungkinkan pesta untuk melempar bel, untuk melempar pesanan dan mencuri barang -barang berharga.
Tentu saja, ini bukan analogi yang sangat baik, tetapi perusahaan kredit perusahaan kredit FTC kredit kredit karma dan situs tiket film Fandango menunjukkan bahaya pengaturan default sistem operasi yang dirancang untuk mengkonfirmasi dan mengamankan koneksi yang digunakan untuk mengirimkan informasi yang tepat.
Bagaimana cara kerja setelah mengunduh aplikasi ke perangkat konsumen. Bayangkan sebagai petugas kebersihan, Safe Nest Layer (SSL), yang merupakan protokol standar dari protokol standar sektor. Ketika layanan online ingin terhubung ke aplikasi, ia menyediakan sertifikat SSL untuk menjamin identitas layanan. Setelah aplikasi mengkonfirmasi sertifikat, layanan online diizinkan dari tali beludru dan menetapkan koneksi terenkripsi ke perangkat agar konsumen mengirim informasi. Melalui sertifikat dan enkripsi SSL, dua tinju verifikasi ini menciptakan cara yang lebih aman bagi orang untuk mengirimkan data sensitif.
Namun, diketahui bahwa penipu menggunakan teknik palsu untuk membuat perakitan yang disebut serangan manusia. Jika aplikasi tidak mengontrol sertifikat SSL, penyerang dapat menggunakan sertifikat yang tidak valid untuk mengambil koneksi ke pintu dan untuk membuat koneksi untuk mengganggu informasi yang dikirim antara aplikasi dan layanan online. Baik aplikasi maupun layanan online tidak masalah apa yang terjadi.
Sangat penting untuk mentransfer informasi pribadi ke ancaman seperti serangan manusia di tengah sehingga sistem operasi iOS dan Android mudah digunakan untuk menerapkan SSL kepada pengembang. Secara default, API ini secara otomatis mengkonfirmasi sertifikat SSL dan menolak koneksi jika sertifikat tidak valid.
Dokumen pengembang untuk sistem operasi iOS dan Android menggunakan bahasa yang sangat kuat untuk memperingatkan pengaturan verifikasi yang diasumsikan ini terhadap cacat. Menurut dokumen IOS, bukan untuk memverifikasi sertifikat SSL, “Koneksi yang dihasilkan tidak lebih aman daripada mengirim permintaan melalui HTTP yang tidak nyaman, karena tidak memberikan perlindungan apa pun tanpa mempertimbangkannya dengan server palsu.” Dokumen Android tidak meremehkan kata-kata: aplikasi yang tidak mengkonfirmasi sertifikat SSL mungkin tidak mengenkripsi komunikasi, karena semua orang dapat menyerang pengguna pada titik panas Wi-Fi publik.
Menurut FTC, kredit karma dan fantango mengabaikan peringatan “pergi ke sana” ini. Saat mengembangkan aplikasi iOS, yang memungkinkan konsumen untuk menerima skor kredit dan memantau data keuangan lainnya, kredit memberi penyedia layanan campuran wewenang untuk menggunakan kode yang menonaktifkan verifikasi sertifikat SSL. Namun, FTC mengatakan aplikasi kredit Karma memungkinkan aplikasi untuk pergi ke pasar tanpa membuka kembali pengaturan default. Oleh karena itu, sekitar 18 Juli 2012 dan 1 Januari 2013, aplikasi iOS perusahaan rentan terhadap serangan manusia di tengah, mempertaruhkan nomor jaminan sosial pengguna, tanggal lahir dan data laporan kredit.
Bagaimana Creditarma mempelajari masalahnya? Menurut FTC, bukan melalui kontrol dan pemantauan internal. Keluhan mengklaim bahwa pengguna menghubungi kredit karma dan menyebabkan insinyur perusahaan untuk memperbarui aplikasi pada Januari 2013 untuk mengembalikan pengaturan default.
Tapi ini bukan akhir dari cerita campuran. Tak lama setelah itu, staf FTC menghubungi kredit karma tentang masalah tersebut. Namun, kemudian tim di -house perusahaan membuat tinjauan keamanan di kedua versi aplikasi. Apakah itu hal yang kompleks, mahal, dan menghabiskan waktu? Tidak. Menurut FTC, hanya butuh beberapa jam dan tidak dengan apa pun. Dan coba tebak apa yang terjadi? Pada bulan Februari 2013 – kemudian Kredit Karma telah diberitahu tentang kerentanan keamanan iOS – perusahaan meluncurkan versi Android dari aplikasi dengan masalah yang sama. Dalam pemeriksaan, gangguan keamanan lain muncul: aplikasi iOS menyimpan otentikasi otentikasi perangkat dan kata sandi tidak aman.
Kasus FTC Against Fantango menuduh perusahaan tur serupa. Dari Maret 2009 hingga Maret 2013, aplikasi Fantango versi iOS gagal mengkonfirmasi sertifikat SSL dan membatalkan asumsi keamanan sistem. Menurut FTC, Fantango tidak menguji aplikasi sebelum dipublikasikan untuk memastikan bahwa konsumen mengirimkan data pribadi mereka dengan aman, termasuk nomor kartu kredit, tanggal kedaluwarsa dan kode keamanan, mengkonfirmasi sertifikat SSL. Ya, Fandango memiliki beberapa audit pada tahun 2011 dua tahun setelah publikasi aplikasi. Tetapi bahkan pada waktu itu, itu hanya terbatas pada ancaman yang muncul ketika penyerang memiliki akses fisik ke perangkat konsumen. Dia tidak menguji transmisi data yang aman. Dengan demikian, Fandango melewatkan kesempatan untuk menentukan kerentanan keamanan yang dibawanya dengan membatalkan default.
FTC mengatakan Fantango telah menyatukan masalah dengan tidak memiliki saluran yang efektif untuk melaporkan masalah keamanan orang. Menurut pengaduan, seorang peneliti menghubungi perusahaan pada bulan Desember 2012 dengan satu metode dari formulir web layanan pelanggan. Karena pesan peneliti berisi istilah “kata sandi ,, sistem layanan pelanggan Fantango membahasnya sebagai pengaturan ulang kata sandi rutin dan menanggapi dengan pesan kalengan. Sistem kemudian menolak peringatan keamanan sebagai” diselesaikan “.
Kapan Fandango akhirnya memperbaiki masalahnya? Menurut pengaduan, perusahaan tidak sampai personel FTC mendengar. Baru kemudian Fantango menjalankan tes sederhana, yang mengungkapkan bahwa aplikasi tidak mengkonfirmasi sertifikat SSL. Fandango juga belajar bahwa kerentanan keamanan memengaruhi aplikasi tiket film terpisah untuk pihak ketiga. Dalam tiga minggu, Fantango telah merilis pembaruan dari kedua aplikasi iOS yang mengembalikan pengaturan default dan dengan demikian mengenakan lubang keamanan ini.
Penyelesaian yang diusulkan dengan Karma Kredit dan Fantango memerlukan program keamanan yang komprehensif untuk mengatasi risiko perusahaan yang terkait dengan pengembangan dan manajemen produk baru dan yang sudah ada dan untuk melindungi keamanan, integritas, dan privasi informasi yang dicakup oleh pesanan. Kredit Karma dan Fandango, konsisten dengan penyelesaian lainnya, akan membutuhkan audit STEM-to-Sand-Security dari profesional independen setiap tahun setiap tahun selama 20 tahun ke depan. Tentu saja, ketentuan perjanjian hanya berlaku untuk perusahaan -perusahaan ini, tetapi memahami bisnis akan ingin membaca pesanan yang direkomendasikan untuk melihat apa yang diperlukan dari campuran kredit dan fantango. Anda dapat mengomentari penyelesaian yang diusulkan hingga 28 April 2014.
Apa selain kasus ini?
1. Berhati -hatilah saat mengubah default keamanan. Jika perusahaan cukup sendirian, default keamanan sistem operasi akan melindungi informasi pribadi konsumen dari serangan manusia di tengah. Tentu saja, kami tidak mengatakan bahwa mengubah pengaturan default selalu ilegal. Faktanya, ada cara untuk melampaui verifikasi sertifikat SSL default dengan menerapkan metode otentikasi yang lebih kuat yang dikenal sebagai “Pinning Sertifikat .. Namun, mengubah asumsi keamanan adalah operasi otak pengembangan aplikasi. Perusahaan harus memastikan mereka tahu apa yang mereka lakukan.
2. Uji aplikasi Anda secara menyeluruh sebelum rilis. Carpenter memiliki pepatah lama: “Ukur dua kali, potong sekali.” Kesimpulan untuk Pengembang Aplikasi: Mudah menggunakan metode gratis atau biaya rendah untuk menguji keamanan aplikasi Anda. sebelum Anda meletakkannya di tangan konsumen.
3. Pikirkan bagaimana orang menggunakan aplikasi Anda. Ada alasan mengapa SSL sangat penting dalam lingkungan seluler, dan mengapa dokumen pengembang iOS dan Android memberikan hal yang begitu besar: karena orang sering menggunakan aplikasi seluler dalam jaringan Wi-Fi publik tanpa jaminan. Seperti pemain catur, pengembang perlu memikirkan beberapa gerakan. Sebelum menerbitkan aplikasi, pertimbangkan bagaimana orang menggunakannya dan mengamankan dunia nyata ini mengingat pemikirannya.
4. Anda bertanggung jawab atas apa yang dilakukan orang lain atas nama Anda. Menurut pengaduan, kredit karma memungkinkan penyedia layanan untuk menonaktifkan proses verifikasi sertifikat SSL selama tes pra -pelepasan, tetapi tidak melihat bahwa pengaturan keamanan dipulihkan. Kekhawatiran pertama: tes dapat dilakukan tanpa menutup default. Namun, bahkan jika demikian, sangat penting bagi perusahaan untuk memastikan bahwa semuanya untuk memesan pai apel sebelum konsumen menerima aplikasi.
5. Pegang telinga Anda di tanah. Ada komunitas riset aktif yang berbagi informasi tentang potensi kerentanan keamanan. Namun, dengan menanggapi peringatan serius dengan “surat bedbug” standar, Fantango melewatkan kesempatan untuk menyelesaikan masalah. Ada orang berpengetahuan untuk berkomunikasi milikmu Perusahaan baru -baru ini tentang risiko potensial? Dan pesan ini tidak dibaca di kotak e -mail?
6. Konsultasikan dengan sumber yang ada. Brosur FTC, Pengembang Aplikasi Seluler: Mulailah dengan Keamanan, menawarkan saran tentang perlindungan terhadap keamanan tersebut untuk perusahaan:
Untuk melindungi pengguna, pengembang biasanya mendistribusikan SSL/TLS dalam bentuk HTTPS. Pertimbangkan untuk menggunakan HTTPS atau metode standar industri lainnya. Tidak perlu menciptakan roda lagi. Jika Anda menggunakan HTTPS, gunakan sertifikat digital dan pastikan aplikasi Anda dengan benar memeriksa. Sertifikat digital dari penjual terkemuka murah dan membantu pelanggan Anda memastikan mereka berkomunikasi dengan server Anda, bukan orang lain. Tetapi standar berubah, jadi perhatikan teknologi yang ada dan pastikan Anda menggunakan fitur keamanan terbaru dan terbaik.
Tempatkan tanda tempat di halaman privasi dan keamanan FTC dan berkonsultasi dengan sumber daya publik lainnya untuk informasi gratis tentang pengembangan aplikasi yang lebih aman.
