وجود نقایص بی‌شمار در برنامه‌ی مورد حمایت سازمان سلامت ملی انگلستان

با توجه به مطالعه‌ای که از سوی شرکت نرم‌افزارهای امنیتی Arxan صورت گرفته است سازمان سلامت ملی بریتانیا NHS در مورد فن‌آوری‌های ارائه شده نگران است.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) ، Arxan بررسی کرده است که همه‌ی نرم‌افزارهای مورد تأیید از فقدان حفاظت باینری در برابر دست‌کاری کد رنج می‌برند و علاوه بر آن اغلب آن‌ها دارای حفاظتی در لایه‌ی انتقال خود نیستند. علاوه بر این، این نقص‌ها در نرم‌افزارهای سلامتی مورد تأیید FDA نیز وجود دارند.

Arxan دریافته است که ۹۰ درصد از ۱۲۶ برنامه‌ی مورد بررسی دست کم دو مورد از ده خطر اصلی را که پروژه‌ی امنیت نرم‌افزار وب‌باز، OWASP‌، اعلام کرده است، دارا می‌باشند. علاوه بر این بیش از هشتاد درصد از نرم‌افزارهای بررسی شده که توسط سازمان غذا و دارو ایالات متحده‌ی آمریکا FDA و سازمان ملی سلامت بریتانیا NHS مورد تأیید قرار گرفته‌اند، دارای دست کم دو مورد از ده خطر اصلی OWASP نرم‌افزارهای تلفن همراه هستند.

این یافته‌ها بخشی از پنجمین گزارش وضعیت سالانه‌ی امنیت نرم‌افزارهای Arxan هستند که امسال بر نرم‌افزارهای سلامتی و مالی تمرکز یافته‌اند.

نتیجه این است که برنامه‌های سلامت همراه مرتبط با تلفن همراه که به وسیله‌ی نهادهای حکومتی و نظارتی تأیید شده‌اند تقریباً به اندازه‌ی سایر نرم‌افزارهای تلفن همراه آسیب‌پذیر هستند.

حفاظت ناکافی از لایه‌ی انتقال و نبود حفاظت باینری دو مورد از رایج‌ترین کلاس‌های آسیب‌پذیری هستند که در مطالعه‌ی Arxan نشان داده شده‌اند. این آسیب‌پذیری‌ها می‌توانند منجر به دست‌کاری کد نرم‌افزارها، مهندسی معکوس، نقض حریم خصوصی و سرقت اطلاعات شوند.

بر اساس این مطالعه این شرکت که در زمینه‌ی توسعه نرم‌افزارهای حفاظتی و فن‌‌آوری‌های ضد دست‌کاری تخصص دارد، کمبودهای حفاظت باینتری می‌تواند منجر به نقض حریم خصوصی، سرقت اطلاعات شخصی مربوط به سلامتی شخص و دست‌کاری آن شوند.

نرم‌افزارهای سلامتی و مالی محبوب از کشورهای آمریکا، انگلستان، آلمان و ژاپن به عنوان بخشی از مطالعه‌ی شرکت Arxan زیر ذره‌بین قرار گرفته‌اند، که چندان هم موجبات راحتی طرفدران آن‌ها را فراهم نمی‌کنند. این شرکت می‌گوید که بررسی برنامه‌های iOS نشان می‌دهد که این برنامه‌ها دست کم به اندازه‌ی اندروید آسیب‌پذیر هستند.

اطلاعات بیشتر در مورد این مطالعه را می‌توان در وب‌گاه Arxan پیدا کرد. مقاله‌ای که بر قسمت مراقبت‌های سلامت و بهداشت این مطالعه تمرکز دارد، به شرح روش‌شناسی و یافته‌های این بررسی بر اساس نگرش‌ مصرف‌کنندگان می‌پردازد.

با استفاده از ابزارهای که از سوی همکار شرکت Arxan شرکت Mi۳ توسعه یافته است می‌توان دریافت که آیا نرم‌افزارها در برابر ده خطر اصلی OWASP تلفن‌های همراه آسیب‌پذیر هستند یا خیر. این فرآیند نیمه‌خودکار است، که ترکیبی از آزمایش خودکار نرم‌افزار و ارزیابی دستی را در هر مورد ارائه می‌کند.

منبع: TheRegister/asis.io