Эксперты компании Check Point обнаружили, что всего 23 приложения для Android раскрывают личные данные 100 млн пользователей из-за неправильных конфигураций. Так, разработчики нередко забывают защитить паролем свои серверные БД, а также оставляют токены или ключи доступа для облачного хранилища или push-уведомлений в исходном коде своего приложения.

В результате, изучив 23 абсолютно случайных приложения, эксперты смогли получить доступ к внутренним базам данных 13 из них. В этих БД были обнаружены адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи, сделанные с экрана, учетные данные от социальных сетей и личные изображения.

И хотя некоторые приложения не раскрывали данные пользователей напрямую, Check Point заявляет, что эти приложения «сливали» ключи доступа, с помощью которых злоумышленники могли отправлять push-уведомления всем пользователям, а это можно использовать, например, для весьма эффективных фишинговых атак.

«Представьте, что новостное приложение отправило своим пользователям уведомление о фальшивой новости, которое вело на фишинговую страницу. Поскольку уведомление отправлено из официального приложения, пользователи будут считать его легитимным, отправленным новостным агентством, а не хакерами», — объясняют исследователи.

Специалисты компании поделились названиями только 5 из 23 изученных приложений: Logo Maker,  Astro Guru,  T'Leva,  Screen Recorder и  iFax.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии