Срочно. 23 приложения для Android раскрыли персональные данные более 100 млн пользователей

23 приложения для Android раскрыли персональные данные более 100 млн пользователей. Фото: Pixabay

Исследователи Check Point:

«Из-за несоблюдения передовых практик при настройке и интеграции сторонних облачных сервисов в приложения[ были раскрыты личные данные миллионов пользователей. В некоторых случаях этот тип неправомерного использования затрагивает только пользователей, однако разработчики также остались уязвимыми. Неправильная конфигурация подвергает риску личные данные пользователей и внутренние ресурсы разработчика, такие как доступ к механизмам обновления, хранилищу и многому другому».

Результаты получены в результате исследования 23 приложений для Android, доступных в официальном магазине Google Play, некоторые из которых имеют количество скачиваний от 10 000 до 10 миллионов, например Astro Guru , iFax, Logo Maker , Screen Recorder и T'Leva, пишет The Hacker News.

Как утверждают в Check Point, проблемы возникают из-за неправильной настройки баз данных в реальном времени, push-уведомлений и ключей облачного хранилища, что приводит к утечке электронных писем, номеров телефонов, сообщений чата, местоположения, паролей, резервных копий, историй браузера и фотографий.

Исследователи заявили, что они смогли получить данные, принадлежащие пользователям ангольского приложения такси T'Leva, включая сообщения, которыми обмениваются водители и пассажиры, а также полные имена водителей, номера телефонов и пункт назначения и план локаций.

Более того, исследователи обнаружили, что разработчики приложений встроили ключи, необходимые для отправки push-уведомлений и доступа к облачным хранилищам, прямо в приложения. Это может не только упростить для злоумышленников отправку мошеннических уведомлений всем пользователям от имени разработчика, но также может быть использовано даже для направления ничего не подозревающих пользователей на фишинговую страницу, что станет точкой входа для более сложных угроз.

Встраивание ключей доступа к облачному хранилищу в приложения также открывает двери для других атак, с помощью которых злоумышленник может получить все данные, хранящиеся в облаке - поведение, которое наблюдалось в двух приложениях, Screen Recorder и iFax, тем самым давая исследователям возможность возможность  доступа к записям экрана и отправленным по факсу документам.

Check Point отмечает, что только несколько приложений изменили свою конфигурацию в ответ на ответственное раскрытие информации. Пользователи других приложений продолжают оставаться уязвимыми для возможных угроз, таких как мошенничество и кража личных данных, не говоря уже об использовании украденных паролей для получения доступа к другим учётным записям обманным путём.

Авиран Хазум, менеджер Check Point по мобильным исследованиям:

«В конечном итоге жертвы становятся уязвимыми для множества различных векторов атак, таких как выдача себя за другое лицо, кража, фишинг и использование сервисов. Исследование проливает свет на тревожную реальность, в которой разработчики приложений не просчитывают риски, которым подвергаются не только их данные, но и данные их пользователей».