Разработчики мобильного ПО случайно раскрыли данные 100 миллионов пользователей

Специалисты по защите информации опубликовали доклад об анализе приложений для ОС Android. Анализ 23 приложений показал. Что ошибочная конфигурация привязанных к ним облачных сервисов позволяет получить доступ к всевозможной личной информации сотни миллионов человек.

darkreading.com

darkreading.com

Команда Check Point Research (CPR) выяснила. Что для 23 приложений характерны всевозможные ошибки конфигурации. Дающие доступ к электронным письмам. Сообщениям в чатах. Геолокационным данным. Паролям и фотографиям пользователей. Под угрозой оказались даже собственные информационные ресурсы разработчиков.

В 13 из этих приложений эксперты обнаружили конфиденциальные данные из актуальных баз. Хранилище для которых разработчикам предоставляли всевозможные облачные сервисы. Синхронизированные с приложениями клиентов. Доступ к некоторым базам не был даже защищён должным образом. Поэтому исследователи смогли получить данные чатов и пароли. Просто отправив программные запросы к базам.

Например, неназванное «популярное приложение такси» с подобным сбоем настроек загружено пользователями более 50 000 раз. Эксперты смогли читать чаты между пассажирами и водителями. Узнали полные имена пользователей. Телефонные номера и адреса отправления и пунктов назначения.

Команда также обнаружила, что в некоторые программы интегрированы всевозможные ключи. Позволяющие не только попадать в облако. Но и дающие злоумышленникам возможность отправлять поддельные push-уведомления.

Что касается облачных хранилищ — анализ программы Screen Recorder (более 10 миллионов загрузок) позволил обнаружить ключи. Дающие доступ ко всем записям. А приложение iFax содержало данные для авторизации и собственно сохранённые факсимильные сообщения.

По сведениям исследователей. О находках компания сообщила в Google и всем разработчикам «дефектных» приложений. Некоторые из которых уже выпустили обновления-«заплатки».

Источник:


Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме