Два десятка Android-приложений способны слить данные 100 млн юзеров

Татьяна Никитина 20 Мая 2021 - 19:24

Домашние пользователи

...

Проведенный в Check Point анализ 23 произвольно выбранных Android-приложений показал, что они ставят под угрозу данные пользователей из-за тривиальных ошибок, допущенных разработчиками при их привязке к сторонним облачным сервисам. На долю этих недавно появившихся в Google Play программ приходится более 100 млн загрузок.

Из наиболее распространенных недочетов исследователи отметили отсутствие парольной защиты базы данных реального времени на стороне сервера, а также вшитые в код ключи и токены для доступа к облачному хранилищу или сервису пуш-уведомлений.

В базах данных, не защищенных от неавторизованного доступа, была найдена следующая информация:

имена пользователей, незашифрованные пароли, email-адреса, номера телефонов;
фото профилей, сообщения в чатах, в том числе приватных, состав групп;
истории браузеров с развернутыми URL;
ID устройств, идентификаторы Facebook, псевдонимы:
СМС-сообщения, email-сообщения, ПИН-коды;
данные о местоположении пользователей, скриншоты;
биллинги, накладные, рецепты на лекарства;
созданные пользователем документы, аудиозаписи, фотоальбомы;
содержимое журналов событий, резервные копии, данные сайтов, тестовые версии приложений;
заявки на снятие подписки, на получение пуш-уведомлений.

«Ошибки в конфигурации базы данных реального времени — отнюдь не новое явление, — пишут исследователи. — Они по-прежнему широко распространены и затрагивают миллионы пользователей».

Ключи доступа, оставленные в коде, позволяют, к примеру, рассылать пуш-сообщения всем пользователям программы. Злоумышленники могут использовать такую возможность для фишинга. Доступ стороннего лица к облачному хранилищу приложения грозит раскрытием конфиденциальной информации.

В отчете Check Point упомянуты только пять названий проанализированных Android-приложений: Logo Maker, Astro Guru, T’Leva, Screen Recorder и iFax. Тем не менее, найденные ошибки разработчика, действительно, широко распространены и повторяются вновь и вновь — об этом свидетельствуют результаты аналогичных исследований Zimperium, Appthority и других специалистов, не теряющих надежду на улучшение ситуации с безопасностью софта для мобильных устройств.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Июля 2025 - 09:08

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

В России готовят запрет на зарубежные коммуникационные сервисы

В перечне поручений президента, опубликованном по итогам встречи с представителями бизнеса в конце мая, содержится указание на подготовку дополнительных ограничений в отношении использования в России коммуникационных сервисов и другого программного обеспечения из недружественных стран. Такие меры предлагается ввести до 1 сентября 2025 года.

Перечень поручений опубликован на официальном сайте Кремля.

В документе, в частности, говорится о необходимости разработать меры по «введению дополнительных ограничений на использование в России программного обеспечения (в том числе коммуникационных сервисов), произведенного в недружественных иностранных государствах».

О необходимости подобных ограничений 26 мая на встрече с президентом заявил генеральный директор IVA Technologies Станислав Иодаковский. Он отметил, что такие сервисы, как Zoom и Microsoft Teams, широко используются как бизнесом, так и обычными пользователями. Президент поддержал предложение, назвав его ответной мерой на ограничения со стороны других государств.

Напомним, что с 1 июля 2025 года в России введён запрет на использование зарубежных мессенджеров для деловой переписки в ряде организаций, включая банки, госорганы и телеком-компании. При этом для обычных пользователей пока сохраняется доступ, за исключением уже заблокированных Viber и Discord.

Два десятка Android-приложений способны слить данные 100 млн юзеров

Читайте также