Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Специалисты по защите информации опубликовали доклад об анализе приложений для ОС Android. Анализ 23 приложений показал, что ошибочная конфигурация привязанных к ним облачных сервисов позволяет получить доступ к всевозможной личной информации сотни миллионов человек.
Команда Check Point Research (CPR) выяснила, что для 23 приложений характерны всевозможные ошибки конфигурации, дающие доступ к электронным письмам, сообщениям в чатах, геолокационным данным, паролям и фотографиям пользователей. Под угрозой оказались даже собственные информационные ресурсы разработчиков.
В 13 из этих приложений эксперты обнаружили конфиденциальные данные из актуальных баз, хранилище для которых разработчикам предоставляли всевозможные облачные сервисы, синхронизированные с приложениями клиентов. Доступ к некоторым базам не был даже защищён должным образом, поэтому исследователи смогли получить данные чатов и пароли, просто отправив программные запросы к базам.
Например, неназванное «популярное приложение такси» с подобным сбоем настроек загружено пользователями более 50 000 раз. Эксперты смогли читать чаты между пассажирами и водителями, узнали полные имена пользователей, телефонные номера и адреса отправления и пунктов назначения.
Команда также обнаружила, что в некоторые программы интегрированы всевозможные ключи, позволяющие не только попадать в облако, но и дающие злоумышленникам возможность отправлять поддельные push-уведомления.
Что касается облачных хранилищ — анализ программы Screen Recorder (более 10 миллионов загрузок) позволил обнаружить ключи, дающие доступ ко всем записям, а приложение iFax содержало данные для авторизации и собственно сохранённые факсимильные сообщения.
По сведениям исследователей, о находках компания сообщила в Google и всем разработчикам «дефектных» приложений, некоторые из которых уже выпустили обновления-«заплатки».
Источник: