Эксперты компании Check Point обнаружили, что всего 23 приложения для Android раскрывают личные данные 100 млн пользователей из-за неправильных конфигураций. Так, разработчики нередко забывают защитить паролем свои серверные БД, а также оставляют токены или ключи доступа для облачного хранилища или push-уведомлений в исходном коде своего приложения.

В результате, изучив 23 абсолютно случайных приложения, эксперты смогли получить доступ к внутренним базам данных 13 из них. В этих БД были обнаружены адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи, сделанные с экрана, учетные данные от социальных сетей и личные изображения.

И хотя некоторые приложения не раскрывали данные пользователей напрямую, Check Point заявляет, что эти приложения «сливали» ключи доступа, с помощью которых злоумышленники могли отправлять push-уведомления всем пользователям, а это можно использовать, например, для весьма эффективных фишинговых атак.

«Представьте, что новостное приложение отправило своим пользователям уведомление о фальшивой новости, которое вело на фишинговую страницу. Поскольку уведомление отправлено из официального приложения, пользователи будут считать его легитимным, отправленным новостным агентством, а не хакерами», — объясняют исследователи.

Специалисты компании поделились названиями только 5 из 23 изученных приложений: Logo Maker,  Astro Guru,  T'Leva,  Screen Recorder и  iFax.

2 комментария

  1. Аватар

    ALibertime

    28.05.2021 в 19:13

    Заголовок публикации- слова «капитана Очевидность».

  2. Аватар

    Lucefer

    05.06.2021 в 02:24

    Всё, переставляю симку в NOKIA 3310

Оставить мнение