23 Android-приложения раскрывают данные более 100 млн пользователей
21 мая 2021 года
По данным исследования ИБ-компании Check Point, из-за неправильной конфигурации ряд Android-приложений раскрывают конфиденциальные данные более 100 млн пользователей.
«Не следуя лучшим практикам конфигурирования и интегрирования сторонних облачных сервисов с приложениями, разработчики подвергают риску персональные данные миллионов пользователей. Во многих случаях проблема затрагивает пользователей, но в некоторых – и самих разработчиков. Неправильная конфигурация подвергает риску персональные данные пользователей и внутренние ресурсы разработчиков, такие как доступ к механизмам обновления, хранилища и т.д.», – сообщили
исследователи.
В ходе исследования специалисты изучили 23 Android-приложения из официального магазина Google Play Store, загруженные от 10 тыс. до 10 млн раз, в том числе Astro Guru, iFax, Logo Maker, Screen Recorder и T'Leva.
Как пояснили исследователи, проблемы существует из-за неправильной конфигурации баз данных в реальном времени, push-уведомлений и ключей облачного хранилища, что приводит к утечке электронных писем, номеров телефонов, сообщений чата, местоположения, паролей, резервных копий, историй браузера и фотографий.
Благодаря отсутствию механизмов аутентификации исследователям удалось получить данные, принадлежащие пользователям ангольского приложения такси T'Leva, включая сообщения, которыми обмениваются водители и пассажиры, а также полные имена водителей, номера телефонов, пункты назначения и места посадки пассажиров.
Более того, исследователи обнаружили, что разработчики приложений встроили ключи, необходимые для отправки push-уведомлений и доступа к облачным хранилищам, прямо в приложения. Это может не только упростить злоумышленникам отправку мошеннических уведомлений всем пользователям от имени разработчика, но также может быть использовано даже для направления ничего не подозревающих пользователей на фишинговую страницу, что станет точкой входа для более сложных атак.
Встраивание ключей доступа к облачному хранилищу в приложения также открывает дверь для других атак, позволяющих злоумышленникам похищать хранящиеся в облаке данные. Именно это исследователи выявили в двух приложениях, Screen Recorder и iFax, благодаря чему им удалось получить доступ к записям экрана и отправленным по факсу документам.
Check Point сообщили о своих находках разработчикам
приложений, но только несколько из них исправили недочеты в конфигурации.
Источники
править| Эта статья содержит материалы из статьи «23 Android-приложения раскрывают данные более 100 млн пользователей», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
