OWASP Mobile Top Ten 2024: De Nye Trusler

16/03/2026

★★★★★Rating: 4.64 (5424 votes)

I en verden, hvor mobile applikationer er blevet en integreret del af vores dagligdag, er sikkerheden af disse apps mere kritisk end nogensinde før. Fra bankvirksomhed til sociale medier, og fra sundhed til underholdning, håndterer mobilapps en enorm mængde følsomme data og udfører essentielle funktioner. Men med bekvemmeligheden følger også en voksende risiko for cyberangreb. For at hjælpe udviklere og organisationer med at navigere i dette komplekse landskab har Open Worldwide Application Security Project (OWASP) længe leveret værdifulde ressourcer, herunder den anerkendte OWASP Mobile Top Ten.

Denne liste er en globalt anerkendt standard, der identificerer de ti mest kritiske sikkerhedsrisici for mobile applikationer. Den fungerer som en uundværlig guide for udviklere, testere og sikkerhedsprofessionelle til at prioritere og afbøde sårbarheder. I januar 2024 udgav OWASP en betydelig opdatering: Mobile Application Security Verification Standard (MASVS) version 2.1.0. Denne nye version afspejler det konstant skiftende trusselslandskab og introducerer nye, opdaterede og fusionerede kategorier for at give mobiludviklere et stærkere forsvar mod de mest aktuelle cybertrusler.

Forståelsen af disse ændringer er afgørende for enhver, der er involveret i udvikling eller sikring af mobile apps. At ignorere de nye risici kan føre til alvorlige databrud, økonomiske tab og skade på omdømme. Lad os dykke ned i, hvad der er nyt, hvad der er ændret, og hvad du skal vide for at beskytte dine mobile applikationer effektivt.

Indholdsfortegnelse

Hvad er nyt i OWASP Mobile Top Ten 2024?
Hvad er fusioneret i OWASP Mobile Top Ten 2024?
- M7: Utilstrækkelig binær beskyttelse (Insufficient Binary Protections)
- M3: Usikker autentificering/autorisation (Insecure Authentication/Authorization)
Hvad er opdateret i OWASP Mobile Top Ten 2024?
Den endelige OWASP Mobile Top Ten liste for 2024
Sammenligning af OWASP Mobile Top Ten: Før og Nu
Ofte Stillede Spørgsmål (FAQ) om OWASP Mobile Top Ten 2024
Konklusion

Hvad er nyt i OWASP Mobile Top Ten 2024?

Den seneste opdatering af OWASP Mobile Top Ten, som er en del af MASVS 2.1.0, bringer fire helt nye trusselskategorier ind på listen. Disse nye kategorier afspejler de seneste tendenser inden for mobile cyberangreb og fremhæver områder, der nu kræver særlig opmærksomhed fra udviklere og sikkerhedsteams.

M1: Uhensigtsmæssig brug af legitimationsoplysninger (Improper Credential Usage)

Denne kategori rangerer nu øverst på den nye OWASP Mobile Top Ten-liste, hvilket understreger dens kritiske betydning. Den omfatter en række potentielle angrebsvektorer, der udnytter brugerlegitimationsoplysninger, API-nøgler og generelt forkert håndtering af legitimationsdata. Dette kan inkludere hardkodede legitimationsoplysninger i appens kode, utilstrækkelig beskyttelse af adgangstokens, svag håndtering af sessions-cookies eller cachelagrede loginoplysninger, der er sårbare over for tyveri. Angribere kan udnytte disse sårbarheder til at opnå uautoriseret adgang til brugerkonti, backend-systemer eller følsomme API'er, hvilket kan føre til datalækage, manipulation eller fuldstændig kompromittering af systemer. Det er essentielt at implementere stærke praksisser for lagring, overførsel og validering af legitimationsoplysninger, herunder brug af sikre nøglebundter og undgåelse af lagring af følsomme data direkte på enheden.

M2: Utilstrækkelig sikkerhed i forsyningskæden (Inadequate Supply Chain Security)

Som den anden mest kritiske trussel afspejler denne kategori den hastigt voksende risiko, der er forbundet med sårbarheder i mobilappens forsyningskæde. Angribere retter sig mod de udviklingsværktøjer, biblioteker, frameworks og tredjepartskomponenter, som udviklere bruger. Målet er at injicere sårbarheder, usikkerheder eller endda skadelig kode uden at blive opdaget. Dette kan omfatte kompromitterede open source-biblioteker, usikre CI/CD-pipelines (Continuous Integration/Continuous Deployment) eller ondsindede plugins til udviklingsmiljøer. Konsekvenserne kan være vidtrækkende, da en enkelt sårbarhed i en delt komponent kan påvirke tusindvis af applikationer. En grundig kontrol af alle eksterne afhængigheder og etablering af sikre udviklingsprocesser er afgørende for at mindske denne risiko.

M4: Utilstrækkelig input/output-validering (Insufficient Input/Output Validation)

Denne kategori relaterer sig til validering af appens input og output. Mobile apps er i fare, når data fra eksterne kilder – uanset om det er brugerinput, data fra API'er eller andre netværksforbindelser – ikke valideres eller renses tilstrækkeligt. Uden korrekt validering kan ondsindet input føre til en række angreb, herunder SQL-injektion, Cross-Site Scripting (XSS), kommandoinjektion eller XML External Entity (XXE) angreb. Utilstrækkelig outputvalidering kan på den anden side føre til datakorruption, afsløring af følsomme oplysninger eller udnyttelige præsentationssårbarheder. Robuste valideringsmekanismer, der sikrer, at kun forventede og sikre data behandles, er fundamentale for at forebygge disse typer angreb.

M6: Utilstrækkelig beskyttelse af privatlivets fred (Inadequate Privacy Controls)

Denne nye kategori fokuserer på kontroller til beskyttelse af personligt identificerbare oplysninger (PII) og andre følsomme data, der bruges i en applikation. Dette omfatter ikke kun håndtering af data i appen selv, men også hvordan data deles med tredjeparter, lagres på enheden eller sendes til backend-systemer. Utilstrækkelige privatlivskontroller kan føre til datalækager, uautoriseret manipulation eller ødelæggelse af data. Dette er især relevant i lyset af skærpede databeskyttelseslovgivninger som GDPR og CCPA. Udviklere skal sikre, at de indsamler, behandler og lagrer PII i overensstemmelse med gældende regler og bedste praksis, herunder minimering af dataindsamling, kryptering af følsomme data og implementering af robuste adgangskontroller.

Hvad er fusioneret i OWASP Mobile Top Ten 2024?

I version 2.1.0 er fire tidligere kategorier blevet fusioneret til to nye og omplaceret på listen. Dette afspejler en konsolidering af relaterede trusler og en mere holistisk tilgang til sikkerhedsforanstaltninger.

M7: Utilstrækkelig binær beskyttelse (Insufficient Binary Protections)

Denne kategori, placeret som M7, består af tidligere kendte kategorier som 'Code Tampering' (kodeændring) og 'Reverse Engineering' (reverse engineering). Disse kontroller hjælper med at sikre, at binær kode ikke kan lækkes, manipuleres, ompakkes eller bruges til at opnå fodfæste i backend for et planlagt angreb. Det handler om at beskytte appens integritet og fortrolighed, selv når den er distribueret til brugerne. Foranstaltninger inkluderer kodeminimering, obfuscation, anti-tampering og anti-debugging teknikker, der gør det vanskeligere for angribere at analysere, ændre eller udnytte appens binære kode. Dette er især vigtigt for apps, der håndterer følsomme finansielle transaktioner, intellektuel ejendom eller kritiske forretningslogikker.

M3: Usikker autentificering/autorisation (Insecure Authentication/Authorization)

Den nye standard fusionerer de tidligere M4 'Insecure Authentication' (usikker autentificering) og M6 'Insecure Authorization' (usikker autorisation) til én kategori, placeret som M3. Her retter trusler sig mod sårbarheder i autentificering (verificering af, at brugeren er den, de udgiver sig for at være) eller autorisation (verificering af, at brugeren har de korrekte legitimationsoplysninger til at få adgang til en ressource). Dette kan omfatte svage autentificeringsmekanismer, manglende multifaktorautentificering (MFA), fejl i sessionshåndtering, mangelfuld adgangskontrol, eller brudt funktionsniveau-autorisation, der tillader brugere at udføre handlinger, de ikke burde have adgang til. En robust implementering af begge dele er afgørende for at beskytte brugerkonti og applikationsdata.

What's new in OWASP mobile application security verification standard? — The OWASP Mobile Application Security Verification Standard (MASVS) version 2.1.0 was released in January 2024, containing new, updated, merged, and re-prioritized threat categories. The changes better reflect the current cyber threat landscape, giving mobile developers a stronger advantage in securing apps across platforms. What's New

Hvad er opdateret i OWASP Mobile Top Ten 2024?

Fire kategorier er enten blevet omformuleret eller har fået deres position ændret på listen, hvilket indikerer en justering af deres relative betydning i det nuværende trusselsbillede.

M8: Sikkerhedsfejlkonfiguration (Security Misconfiguration)

Sikkerhedsfejlkonfiguration er det nye navn for 'Extraneous Functionality' (overflødig funktionalitet), som flyttede fra M10 til M8. Denne kategori fokuserer på forkert konfiguration af sikkerhedsindstillinger, tilladelser og kontroller, der skaber udnyttelige sårbarheder. Dette kan omfatte standardoplysninger, unødvendige funktioner aktiveret i produktionsmiljøer, forkert konfigurerede servere, overdrevent detaljerede fejlmeddelelser, der afslører systeminformation, eller manglende patching af kendte sårbarheder. Hyppige sikkerhedsaudits og en stram konfigurationsstyring er nødvendige for at mindske denne risiko.

M5: Usikker kommunikation (Insecure Communication)

Denne kategori faldt fra M3 til M5. Den omhandler kontroller, der beskytter dataudvekslinger med fjernservere over kommunikationsnetværk. Selvom den er faldet i rang, forbliver den kritisk. Sårbarheder opstår, når data sendes ukrypteret, eller når svage krypteringsprotokoller anvendes, hvilket gør data sårbare over for aflytning og manipulation (man-in-the-middle angreb). Korrekt implementering af TLS/SSL (Transport Layer Security/Secure Sockets Layer) og pinning af certifikater er afgørende for at sikre sikker kommunikation.

M9: Usikker datalagring (Insecure Data Storage)

Faldende fra M2 til M9, efterlader usikker datalagring i en mobilapp data åbne for en bred vifte af potentielle angribere. Dette retter sig normalt mod følsomme eller regulerede data, intellektuel ejendom eller personlige oplysninger, der lagres lokalt på enheden. Manglende kryptering af data, usikker filhåndtering, eller lagring af følsomme data i usikre områder af filsystemet kan føre til datalækage, hvis enheden kompromitteres. Udviklere skal overveje, hvilke data der absolut skal lagres lokalt, og hvordan disse data kan beskyttes bedst muligt.

M10: Utilstrækkelig kryptografi (Insufficient Cryptography)

Sidst, men ikke mindst, faldt denne kategori fra M5 til M10. Trusselsaktører, der udnytter usikker kryptografi, sigter typisk mod at dekryptere følsomme data, manipulere kryptografiske processer, lække krypteringsnøgler, stjæle data, indsamle efterretninger eller begå svindel. Dette omfatter brug af svage eller forældede kryptografiske algoritmer, forkert implementering af kryptografiske primitiver, eller dårlig håndtering af krypteringsnøgler. Selvom den er faldet i rang, er korrekt kryptografi fortsat en hjørnesten i datasikkerhed.

Den endelige OWASP Mobile Top Ten liste for 2024

Disse ændringer repræsenterer den tredje større revision af Mobile Top Ten-listen siden dens udgivelse i 2014 og opdateringerne i 2016. Her er den endelige liste i rækkefølge:

M1: Uhensigtsmæssig brug af legitimationsoplysninger (Improper Credential Usage)
M2: Utilstrækkelig sikkerhed i forsyningskæden (Inadequate Supply Chain Security)
M3: Usikker autentificering/autorisation (Insecure Authentication/Authorization)
M4: Utilstrækkelig input/output-validering (Insufficient Input/Output Validation)
M5: Usikker kommunikation (Insecure Communication)
M6: Utilstrækkelig beskyttelse af privatlivets fred (Inadequate Privacy Controls)
M7: Utilstrækkelig binær beskyttelse (Insufficient Binary Protections)
M8: Sikkerhedsfejlkonfiguration (Security Misconfiguration)
M9: Usikker datalagring (Insecure Data Storage)
M10: Utilstrækkelig kryptografi (Insufficient Cryptography)

Sammenligning af OWASP Mobile Top Ten: Før og Nu

For at give et klart overblik over ændringerne, er her en sammenlignende tabel, der viser, hvordan kategorierne har udviklet sig fra de tidligere versioner til den nye 2024-udgave:

2024 Rank	2024 Kategori (Ny/Opdateret Navn)	Tidligere Kategori(er) / Rank	Beskrivelse / Noter
M1	Uhensigtsmæssig brug af legitimationsoplysninger (Improper Credential Usage)	Ny kategori	Fokus på sårbarheder relateret til håndtering af brugerlegitimationsoplysninger og API-nøgler.
M2	Utilstrækkelig sikkerhed i forsyningskæden (Inadequate Supply Chain Security)	Ny kategori	Adresser sårbarheder introduceret via tredjepartskomponenter, biblioteker og udviklingsværktøjer.
M3	Usikker autentificering/autorisation (Insecure Authentication/Authorization)	M4: Insecure Authentication M6: Insecure Authorization	Fusion af tidligere separate kategorier for autentificering og autorisation.
M4	Utilstrækkelig input/output-validering (Insufficient Input/Output Validation)	Ny kategori	Omhandler manglende validering af data fra eksterne kilder til appen.
M5	Usikker kommunikation (Insecure Communication)	M3 (faldet i rang)	Beskyttelse af data under overførsel over netværk.
M6	Utilstrækkelig beskyttelse af privatlivets fred (Inadequate Privacy Controls)	Ny kategori	Fokus på beskyttelse af PII (personligt identificerbare oplysninger) og overholdelse af privatlivslovgivning.
M7	Utilstrækkelig binær beskyttelse (Insufficient Binary Protections)	M7: Code Tampering M9: Reverse Engineering	Fusion af tidligere kategorier vedrørende kodeintegritet og beskyttelse mod analyse.
M8	Sikkerhedsfejlkonfiguration (Security Misconfiguration)	M10: Extraneous Functionality (flyttet op)	Fokus på forkert konfigurerede sikkerhedsindstillinger og unødvendige funktioner.
M9	Usikker datalagring (Insecure Data Storage)	M2 (faldet i rang)	Sårbarheder relateret til usikker lagring af data på mobilenheden.
M10	Utilstrækkelig kryptografi (Insufficient Cryptography)	M5 (faldet i rang)	Problemer med implementering og brug af kryptografiske algoritmer.

Ofte Stillede Spørgsmål (FAQ) om OWASP Mobile Top Ten 2024

Hvad er OWASP Mobile Top Ten?

OWASP Mobile Top Ten er en liste over de ti mest kritiske sikkerhedsrisici for mobile applikationer, udarbejdet af Open Worldwide Application Security Project (OWASP). Listen er designet til at øge bevidstheden om appsikkerhed og vejlede udviklere i at prioritere deres sikkerhedsindsats for at afbøde de mest almindelige og farlige sårbarheder.

Hvorfor er den nye version (MASVS 2.1.0) vigtig?

Den nye version, MASVS 2.1.0, udgivet i januar 2024, er vigtig, fordi den afspejler det ændrede trusselslandskab. Cybertrusler udvikler sig konstant, og en opdateret liste sikrer, at udviklere fokuserer på de mest relevante og presserende risici. Den introducerer nye kategorier, der dækker moderne angrebsvektorer som forsyningskædeangreb og bedre privatlivskontroller, og den omstrukturerer eksisterende kategorier for at give et mere holistisk overblik over sikkerhedsbehov.

Hvordan påvirker disse ændringer mobiludviklere?

Disse ændringer betyder, at mobiludviklere skal genoverveje og justere deres sikkerhedspraksis. De skal være opmærksomme på de nye trusler som uhensigtsmæssig brug af legitimationsoplysninger og forsyningskædesikkerhed. De skal også forstå de fusionerede og omplacerede kategorier for at sikre, at deres sikkerhedstests og -implementeringer er i overensstemmelse med de seneste standarder. Det kræver en opdatering af viden, værktøjer og processer for at opretholde et højt sikkerhedsniveau.

Hvad skal jeg gøre for at beskytte mine apps i henhold til den nye standard?

For at beskytte dine apps i henhold til den nye standard, bør du:

Gennemgå alle dine apps i forhold til de nye kategorier (M1, M2, M4, M6) og implementere passende afbødninger.
Opdatere dine autentificerings- og autorisationsmekanismer i lyset af den nye M3-kategori.
Implementere strengere kontrol med tredjepartsbiblioteker og -komponenter (M2).
Sørge for robust input/output-validering i hele appen (M4).
Forbedre dine privatlivskontroller for at beskytte PII (M6).
Udføre regelmæssige sikkerhedsaudits og penetrationstests.
Træne dit udviklingsteam i de seneste sikkerhedspraksisser og OWASP-standarder.
Bruge sikre udviklingslivscyklusser (SDLC), der integrerer sikkerhed fra designfasen.

Konklusion

Den seneste opdatering af OWASP Mobile Top Ten og udgivelsen af MASVS 2.1.0 understreger den dynamiske natur af cybersikkerhed. Med den stigende kompleksitet af mobile applikationer og den vedvarende udvikling af angrebsteknikker er det vigtigere end nogensinde at holde sig informeret og proaktiv. De nye, fusionerede og opdaterede kategorier giver en klarere og mere relevant ramme for at identificere og afbøde de mest kritiske sårbarheder i mobile apps.

For mobiludviklere er dette en opfordring til handling. At forstå og implementere de anbefalede sikkerhedsforanstaltninger er ikke blot en teknisk opgave, men en forretningsmæssig nødvendighed. Ved at investere i robust appsikkerhed beskytter du ikke kun dine brugere og deres data, men også dit brand og din organisation mod de potentielt ødelæggende konsekvenser af et sikkerhedsbrud. Lad denne nye OWASP Mobile Top Ten være din guide til at bygge mere sikre, mere modstandsdygtige og mere troværdige mobile applikationer i 2024 og fremover.

Hvis du vil læse andre artikler, der ligner OWASP Mobile Top Ten 2024: De Nye Trusler, kan du besøge kategorien Teknologi.

Er iPhone 7 Plus stadig et godt valg i dag?