Эксперты компании Check Point обнаружили, что всего 23 приложения для Android раскрывают личные данные 100 млн пользователей из-за неправильных конфигураций. Так, разработчики нередко забывают защитить паролем свои серверные БД, а также оставляют токены или ключи доступа для облачного хранилища или push-уведомлений в исходном коде своего приложения.
В результате, изучив 23 абсолютно случайных приложения, эксперты смогли получить доступ к внутренним базам данных 13 из них. В этих БД были обнаружены адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи, сделанные с экрана, учетные данные от социальных сетей и личные изображения.
И хотя некоторые приложения не раскрывали данные пользователей напрямую, Check Point заявляет, что эти приложения «сливали» ключи доступа, с помощью которых злоумышленники могли отправлять push-уведомления всем пользователям, а это можно использовать, например, для весьма эффективных фишинговых атак.
«Представьте, что новостное приложение отправило своим пользователям уведомление о фальшивой новости, которое вело на фишинговую страницу. Поскольку уведомление отправлено из официального приложения, пользователи будут считать его легитимным, отправленным новостным агентством, а не хакерами», — объясняют исследователи.
Специалисты компании поделились названиями только 5 из 23 изученных приложений: Logo Maker, Astro Guru, T'Leva, Screen Recorder и iFax.
