Каждое десятое приложение для Android хранит пароли в открытом виде

Каждое десятое приложение для Android хранит пароли в открытом виде

Каждое десятое приложение для Android хранит пароли в открытом виде

Каждое десятое мобильное приложение из Google Play, RuStore и Huawei AppGallery хранит пин-коды и пароли в открытом виде. Не защитит пользователей и проверка по отпечатку пальца и изображению лица.

О проблемах с обработкой конфиденциальных данных при входе в мобильные приложения для Android Anti-Malware.ru рассказали в группе компаний Swordfish Security.

Команда Стингрей Технолоджиз анализировала защищенность мобильных приложений и выяснила, что пароли и пин-коды в публичных магазинах и на маркетплейсах сохраняются в файловой системе в открытом виде. Речь идет о сторах Google Play, RuStore и Huawei AppGallery.

Уязвимость связана с локальной проверкой пин-кода пользователя на устройстве, которая встречается во многих приложениях.

Клиент вводит пин-код, далее система сверяет его с сохраненным локально паролем. Биометрическая аутентификация реализуется поверх этого механизма — системе отправляется запрос на проверку регистрации предоставленного образца (отпечатка пальца/изображения лица).

По большому счету этот алгоритм не имеет смысла, поскольку подменить ответ системы совсем не сложно, отмечают эксперты.

Атаку можно провести без root-доступа к системе. Если устройство в руках злоумышленника, он просто добавит собственный отпечаток и по нему войдет в приложение — пароль не требуется.

А раскрыв секретную комбинацию, преступник может зайти и в другие приложения — по данным Avast, 50% россиян используют одинаковые пароли на разных сервисах.

Существуют способы провести атаку и без доступа к устройству. Злоумышленник может взломать облачное хранилище и получить пароли от всех приложений, которые есть у клиента.

Еще один вариант: использовать другие уязвимости мобильного продукта, которые позволяют получить данные внутренних файлов. Такие проблемы встречаются довольно часто, особенно в продуктах на OC Android, отмечается в сообщении Swordfish Security.

Использование уязвимости может привести к критическим последствиям, считают эксперты, так как злоумышленники получают полный доступ к аккаунтам пользователей. Они могут украсть деньги, скомпрометировать персональные данные, а также использовать эту информацию в других атаках.

Такие инциденты грозят обернуться репутационными рисками, серьезными финансовыми потерями и оттоком клиентов.

Под угрозой находятся все владельцы мобильных приложений, содержащих данную уязвимость, предупреждает команда Стингрей Технолоджиз. Речь, в частности, идет и о финтех-сегменте, криптобиржах и онлайн-магазинах. Конкретных названий приложений в Swordfish Security не привели.

Отмечается, что специалисты компании связалась с представителями потенциальных жертв и сообщили о проблеме. Но “дыры” в безопасности до сих пор не закрыты.

WhatsApp обещает защитить юзернеймы от фейков, клонов и мошенников

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) еще не успел полноценно запустить имена пользователей, а вокруг функции уже началась возня с регуляторами. По данным СМИ, власти Индии попросили корпорацию притормозить и объяснить, как мессенджер собирается бороться с мошенничеством и подделкой личностей.

Суть опасений понятна: если пользователи смогут общаться без передачи номера телефона, мошенникам якобы станет проще прятаться за никами, выдавать себя за людей, компании или госорганы и проворачивать привычные схемы уже в более анонимном формате.

WhatsApp с этим не согласен и утверждает, что защита от злоупотреблений уже заложена в дизайн функции. Представитель корпорации сообщил Android Authority, что возможность использовать юзернеймы пока не запущена для всех и будет внедряться постепенно.

По словам WhatsApp, самые заметные имена заранее зарезервированы: публичные персоны, госструктуры, знаменитости и верифицированные аккаунты Meta не смогут быть захвачены посторонними. Более того, похожие варианты известных имен тоже удерживаются.

Компания также подчёркивает: имена пользователей не заменят номер телефона полностью. Для создания и использования аккаунта WhatsApp по-прежнему потребуется телефонный номер. Ник нужен только как способ дать людям возможность связаться друг с другом без немедленного раскрытия номера.

Дополнительные ограничения тоже будут. Чтобы написать человеку по юзернейму, нужно знать его точное имя. WhatsApp обещает ограничивать количество новых контактов, которым может написать один аккаунт, блокировать массовый перебор никнеймов и использовать автоматические системы для поиска подозрительной активности и имперсонации.

Если незнакомец впервые напишет по имени, пользователь увидит больше контекста: новый ли это аккаунт, есть ли он в контактах, есть ли общая группа и из какой страны идет сообщение.

Иными словами, WhatsApp пытается усидеть на двух стульях: дать пользователям больше приватности, но не превратить юзернеймы в новый рай для мошенников. Получится ли? Станет понятно после запуска.

RSS: Новости на портале Anti-Malware.ru