Два десятка Android-приложений способны слить данные 100 млн юзеров
Главная » Новости

Два десятка Android-приложений способны слить данные 100 млн юзеров

Татьяна Никитина 20 Мая 2021 - 19:24
...
Два десятка Android-приложений способны слить данные 100 млн юзеров

Проведенный в Check Point анализ 23 произвольно выбранных Android-приложений показал, что они ставят под угрозу данные пользователей из-за тривиальных ошибок, допущенных разработчиками при их привязке к сторонним облачным сервисам. На долю этих недавно появившихся в Google Play программ приходится более 100 млн загрузок.

Из наиболее распространенных недочетов исследователи отметили отсутствие парольной защиты базы данных реального времени на стороне сервера, а также вшитые в код ключи и токены для доступа к облачному хранилищу или сервису пуш-уведомлений.

В базах данных, не защищенных от неавторизованного доступа, была найдена следующая информация:

  • имена пользователей, незашифрованные пароли, email-адреса, номера телефонов;
  • фото профилей, сообщения в чатах, в том числе приватных, состав групп;
  • истории браузеров с развернутыми URL;
  • ID устройств, идентификаторы Facebook, псевдонимы:
  • СМС-сообщения, email-сообщения, ПИН-коды;
  • данные о местоположении пользователей, скриншоты;
  • биллинги, накладные, рецепты на лекарства;
  • созданные пользователем документы, аудиозаписи, фотоальбомы;
  • содержимое журналов событий, резервные копии, данные сайтов, тестовые версии приложений;
  • заявки на снятие подписки, на получение пуш-уведомлений.

«Ошибки в конфигурации базы данных реального времени — отнюдь не новое явление, — пишут исследователи. — Они по-прежнему широко распространены и затрагивают миллионы пользователей».

Ключи доступа, оставленные в коде, позволяют, к примеру, рассылать пуш-сообщения всем пользователям программы. Злоумышленники могут использовать такую возможность для фишинга. Доступ стороннего лица к облачному хранилищу приложения грозит раскрытием конфиденциальной информации.

В отчете Check Point упомянуты только пять названий проанализированных Android-приложений: Logo Maker, Astro Guru, T’Leva, Screen Recorder и iFax. Тем не менее, найденные ошибки разработчика, действительно, широко распространены и повторяются вновь и вновь — об этом свидетельствуют результаты аналогичных исследований Zimperium, Appthority и других специалистов, не теряющих надежду на улучшение ситуации с безопасностью софта для мобильных устройств.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Выручка «Группы Астра» достигла 6,6 млрд рублей за 6 месяцев 2025 года
Екатерина Быстрова 28 Августа 2025 - 21:15
Корпорации «Группа Астра»
Выручка «Группы Астра» достигла 6,6 млрд рублей за 6 месяцев 2025 года

ПАО «Группа Астра» опубликовала показатели по МСФО за первые шесть месяцев 2025 года. Как отмечает компания, её бизнес традиционно имеет сезонность: большая часть отгрузок приходится на второе полугодие, тогда как расходы распределены равномерно.

В отчетный период отгрузки выросли на 4% год к году и достигли 5,8 млрд рублей. Выручка увеличилась на 34% и составила 6,6 млрд рублей.

Рост объясняется в том числе признанием выручки от ранее поставленных продуктов и увеличением доходов от сопровождения. Скорректированная EBITDA составила 1,3 млрд рублей, скорректированная чистая прибыль — 0,6 млрд рублей. Показатель чистый долг/EBITDA LTM на 30 июня 2025 года равен 0,23, что указывает на низкую долговую нагрузку.

В апреле совет директоров одобрил buyback до 2 млн акций (около 1% капитала). На конец августа компания выкупила 500 тысяч акций. В июне акционеры утвердили дивиденды по итогам 2024 года в размере 661 млн рублей (3,15 рубля на акцию). С учетом промежуточных выплат общая сумма дивидендов составила 1,2 млрд рублей, или 5,79 рубля на акцию.

Заместитель гендиректора по экономике и финансам Елена Бородкина отметила, что компания работает в условиях высокой ключевой ставки и снижения инвестиционной активности заказчиков, что влияет на цикл согласования проектов и формирует отложенный спрос:

«Мы все еще видим замедление в ИТ-секторе: действующие и потенциальные клиенты по-прежнему осторожно подходят к инвестиционным решениям, что удлиняет цикл согласования проектов и формирует отложенный спрос. Это видно по отгрузкам за отчетный период, которые остались почти на том же уровне относительно аналогичного периода 2024 года. Указанные факторы наряду с исторической сезонностью могут оказать влияние на финальные годовые результаты группы. Однако итоговая динамика финансовых показателей будет зависеть от макроэкономических условий и активности клиентов».

По словам Бородкиной, в компании усиливается контроль расходов и оптимизация процессов разработки, включая устранение дублирующих функций после сделок M&A и переход к новому портфельному подходу к развитию продуктов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Рынок облаков в РФ вырастет на 35–40%, Private Cloud — на 10–15%
Новость
Рынок облаков в РФ вырастет на 35–40%, Private Cloud — на 10...
Каждый четвёртый айтишник считает: топы не в теме киберугроз
Новость
Каждый четвёртый айтишник считает: топы не в теме киберугроз
Endgame Gear распространяла вредонос в конфигураторе мыши OP1w 4k v2
Новость
Endgame Gear распространяла вредонос в конфигураторе мыши OP...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.