Два десятка Android-приложений способны слить данные 100 млн юзеров

Татьяна Никитина 20 Мая 2021 - 19:24

Домашние пользователи

...

Проведенный в Check Point анализ 23 произвольно выбранных Android-приложений показал, что они ставят под угрозу данные пользователей из-за тривиальных ошибок, допущенных разработчиками при их привязке к сторонним облачным сервисам. На долю этих недавно появившихся в Google Play программ приходится более 100 млн загрузок.

Из наиболее распространенных недочетов исследователи отметили отсутствие парольной защиты базы данных реального времени на стороне сервера, а также вшитые в код ключи и токены для доступа к облачному хранилищу или сервису пуш-уведомлений.

В базах данных, не защищенных от неавторизованного доступа, была найдена следующая информация:

имена пользователей, незашифрованные пароли, email-адреса, номера телефонов;
фото профилей, сообщения в чатах, в том числе приватных, состав групп;
истории браузеров с развернутыми URL;
ID устройств, идентификаторы Facebook, псевдонимы:
СМС-сообщения, email-сообщения, ПИН-коды;
данные о местоположении пользователей, скриншоты;
биллинги, накладные, рецепты на лекарства;
созданные пользователем документы, аудиозаписи, фотоальбомы;
содержимое журналов событий, резервные копии, данные сайтов, тестовые версии приложений;
заявки на снятие подписки, на получение пуш-уведомлений.

«Ошибки в конфигурации базы данных реального времени — отнюдь не новое явление, — пишут исследователи. — Они по-прежнему широко распространены и затрагивают миллионы пользователей».

Ключи доступа, оставленные в коде, позволяют, к примеру, рассылать пуш-сообщения всем пользователям программы. Злоумышленники могут использовать такую возможность для фишинга. Доступ стороннего лица к облачному хранилищу приложения грозит раскрытием конфиденциальной информации.

В отчете Check Point упомянуты только пять названий проанализированных Android-приложений: Logo Maker, Astro Guru, T’Leva, Screen Recorder и iFax. Тем не менее, найденные ошибки разработчика, действительно, широко распространены и повторяются вновь и вновь — об этом свидетельствуют результаты аналогичных исследований Zimperium, Appthority и других специалистов, не теряющих надежду на улучшение ситуации с безопасностью софта для мобильных устройств.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 08:45

Уязвимости программ Утечки информации Случайные утечки Домашние пользователи

Имея только номер: как WhatsApp выдаёт активность и устройства пользователя

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) снова оказался в центре внимания исследователей, на этот раз из-за утечек метаданных, которые позволяют узнать о пользователе больше, чем хотелось бы. Как выяснил сооснователь и CTO Zengo Таль Беэри, имея только номер телефона, посторонний может определить, когда человек бывает онлайн, а в некоторых случаях даже выяснить, какими устройствами он пользуется.

Своё исследование Беэри представит на Black Hat Asia 2026. Суть проблемы не в том, что WhatsApp раскрывает содержимое переписки, с этим у мессенджера, по словам разработчиков, по-прежнему всё жёстко благодаря сквозному шифрованию.

Здесь, кстати, Паша Дуров не согласится. Напомним, основатель Telegram недавно назвал шифрование WhatsApp крупнейшим обманом пользователей.

Тем не мене побочным эффектом архитектуры мессенджера оказались именно метаданные. По данным Dark Reading, исследователь показал, как с помощью самодельного инструмента, работающего через протокол WhatsApp Web, можно незаметно отслеживать активность пользователя. Например, отправлять особые «тихие» сигналы, которые не отображаются на устройстве жертвы, но позволяют понять, находится ли человек онлайн.

Такие «незаметные пинги» сами по себе не выглядят чем-то катастрофическим, но на практике могут дать злоумышленнику полезные сведения. По сути, можно постепенно собрать цифровой распорядок дня жертвы: когда она спит, когда работает, в какое время с большей вероятностью откликнется на фишинговое сообщение. В теории этот же механизм можно использовать и для медленного расхода батареи устройства.

Есть и ещё один нюанс. Когда кто-то инициирует новый чат, WhatsApp в служебном обмене передаёт данные, необходимые для сквозного шифрования на всех устройствах пользователя. Из-за особенностей этих идентификаторов можно сделать вывод, на каких платформах человек использует мессенджер — например, на iPhone, Android или десктопе. Причём для этого, как утверждает исследователь, достаточно просто добавить номер в контакты, не уведомляя владельца.

Сам по себе такой слив метаданных может показаться мелочью, но, по мнению Беэри, он полезен и мошенникам, и более серьёзным киберпреступникам. Одним он даёт дополнительную информацию для фишинга и социальной инженерии, другим — помогает точнее готовить атаки под конкретную ОС и устройство.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!