Исследователи компании Zscaler опубликовали отчет, составленный после длительного наблюдения за поведением приложений для iOS и Android. В среднем, за один квартал на устройствах, на которых установлены решения Zscaler, суммарно осуществляется 45 млн различных операций. Лишь 4% из них сливают какие-то конфиденциальные пользовательские данные на сторону, то есть опасными были признаны лишь 200 000 операций. Под конфиденциальными данными исследователи подразумевают такую информацию, как номер телефона и email-адрес, данные о местоположении устройства, а также любые метаданные (IMEI, MAC-адрес, номера IMSI, информация о сети, ОС, SIM-карте и производителе устройства).
Как ни странно, оказалось, что iOS-приложения отправляют данные пользователя на сторону чаще, чем приложения для Android. Так, исследователи пишут, что за квартал было зафиксировано 26 млн операцией, осуществленных различными iOS-приложениями, и конфиденциальная информация утекала в 0,5% случаев (130 000 операций). 72,3% утекших данных содержали информацию об устройстве, 27,5% содержали геолокационную информацию и 0,2% личные данные пользователей.
Большинство (70%) утечек было зафиксировано на iOS-устройствах в Китае, а на втором месте (20%) оказалась Южная Африка. Также в список попали США, Великобритания и Ирландия.
Показатели для Android-приложений, в свою очередь, таковы: исследователи зафиксировали 20 млн операций за квартал, из которых лишь 0,3% были признаны опасными (60 000 операций). В ходе 58% опасных операций утекали различные метаданные, в 39,3% случаев приложения сливали данные о местоположении, и еще 3% операций раскрывали третьим сторонам конфиденциальные данные пользователей.
Больше всего утечек произошло с устройств находящихся в США (55%), Великобритании (16%) и Китае (12%).
Аналитики Zscaler предупреждают, что эту проблему вряд ли можно считать несерьезной, так как утечки конфиденциальной информации пользователей (даже если это простые метаданные) могут быть перехвачены и использованы злоумышленниками. Подобные данные могут стать хорошим подспорьем для осуществления адресного фишинга, смишинга (фишинг через SMS), DoS-атак и так далее.
Фото: Depositphotos
