Неправильно настроенные приложения для Android «сливают» данные пользователей - «Новости»

  • 10:30, 23-мая-2021
  • Изображения / Новости / Отступы и поля
  • Илья
  • 0

Эксперты компании Check Point обнаружили, что всего 23 приложения для Android раскрывают личные данные 100 млн пользователей из-за неправильных конфигураций. Так, разработчики нередко забывают защитить паролем свои серверные БД, а также оставляют токены или ключи доступа для облачного хранилища или push-уведомлений в исходном коде своего приложения.


В результате, изучив 23 абсолютно случайных приложения, эксперты смогли получить доступ к внутренним базам данных 13 из них. В этих БД были обнаружены адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи, сделанные с экрана, учетные данные от социальных сетей и личные изображения.





И хотя некоторые приложения не раскрывали данные пользователей напрямую, Check Point заявляет, что эти приложения «сливали» ключи доступа, с помощью которых злоумышленники могли отправлять push-уведомления всем пользователям, а это можно использовать, например, для весьма эффективных фишинговых атак.


«Представьте, что новостное приложение отправило своим пользователям уведомление о фальшивой новости, которое вело на фишинговую страницу. Поскольку уведомление отправлено из официального приложения, пользователи будут считать его легитимным, отправленным новостным агентством, а не хакерами», — объясняют исследователи.


Специалисты компании поделились названиями только 5 из 23 изученных приложений: Logo Maker,  Astro Guru,  T'Leva,  Screen Recorder и  iFax.




Эксперты компании Check Point обнаружили, что всего 23 приложения для Android раскрывают личные данные 100 млн пользователей из-за неправильных конфигураций. Так, разработчики нередко забывают защитить паролем свои серверные БД, а также оставляют токены или ключи доступа для облачного хранилища или push-уведомлений в исходном коде своего приложения. В результате, изучив 23 абсолютно случайных приложения, эксперты смогли получить доступ к внутренним базам данных 13 из них. В этих БД были обнаружены адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи, сделанные с экрана, учетные данные от социальных сетей и личные изображения. И хотя некоторые приложения не раскрывали данные пользователей напрямую, Check Point заявляет, что эти приложения «сливали» ключи доступа, с помощью которых злоумышленники могли отправлять push-уведомления всем пользователям, а это можно использовать, например, для весьма эффективных фишинговых атак. «Представьте, что новостное приложение отправило своим пользователям уведомление о фальшивой новости, которое вело на фишинговую страницу. Поскольку уведомление отправлено из официального приложения, пользователи будут считать его легитимным, отправленным новостным агентством, а не хакерами», — объясняют исследователи. Специалисты компании поделились названиями только 5 из 23 изученных приложений: Logo Maker, Astro Guru, T'Leva, Screen Recorder и iFax.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!