Проведенный в Check Point анализ 23 произвольно выбранных Android-приложений показал, что они ставят под угрозу данные пользователей из-за тривиальных ошибок, допущенных разработчиками при их привязке к сторонним облачным сервисам. На долю этих недавно появившихся в Google Play программ приходится более 100 млн загрузок.
Из наиболее распространенных недочетов исследователи отметили отсутствие парольной защиты базы данных реального времени на стороне сервера, а также вшитые в код ключи и токены для доступа к облачному хранилищу или сервису пуш-уведомлений.
В базах данных, не защищенных от неавторизованного доступа, была найдена следующая информация:
- имена пользователей, незашифрованные пароли, email-адреса, номера телефонов;
- фото профилей, сообщения в чатах, в том числе приватных, состав групп;
- истории браузеров с развернутыми URL;
- ID устройств, идентификаторы Facebook, псевдонимы:
- СМС-сообщения, email-сообщения, ПИН-коды;
- данные о местоположении пользователей, скриншоты;
- биллинги, накладные, рецепты на лекарства;
- созданные пользователем документы, аудиозаписи, фотоальбомы;
- содержимое журналов событий, резервные копии, данные сайтов, тестовые версии приложений;
- заявки на снятие подписки, на получение пуш-уведомлений.
«Ошибки в конфигурации базы данных реального времени — отнюдь не новое явление, — пишут исследователи. — Они по-прежнему широко распространены и затрагивают миллионы пользователей».
Ключи доступа, оставленные в коде, позволяют, к примеру, рассылать пуш-сообщения всем пользователям программы. Злоумышленники могут использовать такую возможность для фишинга. Доступ стороннего лица к облачному хранилищу приложения грозит раскрытием конфиденциальной информации.
В отчете Check Point упомянуты только пять названий проанализированных Android-приложений: Logo Maker, Astro Guru, T’Leva, Screen Recorder и iFax. Тем не менее, найденные ошибки разработчика, действительно, широко распространены и повторяются вновь и вновь — об этом свидетельствуют результаты аналогичных исследований Zimperium, Appthority и других специалистов, не теряющих надежду на улучшение ситуации с безопасностью софта для мобильных устройств.
