ИБ-исслeдoвaтeли с Check Point Research сooбщили oб oбнaружeнии рядa сeрьeзныx прoблeм в кoнфигурaции пoпулярныx Android-прилoжeний, с-зa чeгo дaнныe 100 млн пoльзoвaтeлeй oкaзaлись oткрытыми на сбoрa. Oб этoм гoвoрится в прeсс-рeлизe кoмпaнии Check Point, пoступившeм в «Гaзeту.Ru».
Рeчь идeт o 23 пoпулярныx прoгрaммax, срeди кoтoрыx прилoжeниe пользу кого вызoвa тaкси, фoтoрeдaктoр, сeрвис интересах зaписи экрaнa и др. Check Point рaскрыли не (более пять из них – Screen Recorder, iFax, Astro Guru, Logo Maker и T\’Leva. Нажин скачиваний этих приложений в Google Play варьируется ото 10 тыс. до 10 млн.
Чисто удалось узнать экспертам, система разработчиков неправильно используют сторонние облачные сервисы, такие словно базы данных, диспетчеры уведомлений и облачные хранилища.
Сие создало возможность для прибыль самых разных персональных данных пользователей: ото паролей и сообщений из чатов вплоть до геолокации и истории браузера.
«Большинство приложений, которые ты да я изучили, до сих пор безлюдный (=малолюдный) устранили эти уязвимости. Неправильное сохранение пользовательских данных, особенно, неравно злоумышленники смогут получить к ним проход, — это очень серьезная трудность, — рассказывает Авиран Хазум, управляющий группы исследователей мобильных угроз Check Point Software. — В конечном итоге пользователи таких приложений рискуют характер жертвами различных атак: с мошенничества и фишинга до кражи персональной информации и взлома аккаунтов получи других сервисах.
В ходе нашего исследования наша сестра получили неутешительные результаты: разработчики подвергают риску далеко не только свои данные, однако и данные пользователей.
Из-вслед за того, что разработчики часто неправильно интегрируют и настраивают сторонние облачные сервисы, в открытом доступе оказались показания десятков миллионов пользователей. Да мы с тобой надеемся, что наше обследование убедит сообщество разработчиков в необходимости разделять особое внимание подключению сторонних облачных сервисов. Пишущий эти строки рекомендуем разработчикам проверить близкие приложения на выявленные нами уязвимости и сделать необходимые меры по их устранению».
Осмотр приложений на безопасность в Google Play в высокой степени автоматизирована и касается в большей степени поиска вредоносных компонентов в До, пояснил «Газете.Ru» Даниил Чернов, патрон Центра Solar appScreener компании «Ростелеком-Солар». По мнению его словам, ошибки безопасности, допущенные в коде быть программировании приложений, алгоритмы Google Play далеко не выявляют, поэтому подобные приложения могут фигурировать размещены в официальном магазине и подле этом содержать потенциальную угрозу в (видах безопасности пользовательских данных.
За вычетом того, неправильная конфигурация приложения — сие не злой умысел разработчиков, а без затей ошибка, указывает Ондржей Дэвид, правитель группы анализа вредоносных программ в Avast. Учитывая цифра доступных сервисов и их норма конфигурации, найти среди них однозначный набор уязвимостей очень заковыристо.
И хотя Google использует передовые технологии и систематично проверяет приложения, выявить такие проблемы в больших количествах умопомрачительно сложно, поэтому ответственность из-за безопасность приложения и пользовательских данных в значительной степени лежит нате разработчиках.
Что же касается проблемы приближенно называемых некорректных конфигураций (Misconfiguration), ведь она существует с тех пор, ровно появились облачные сервисы, сообщил Победитель Чебышев, исследователь мобильных угроз в «Лаборатории Касперского».
«Работа в том, что разработчики то и знай гонятся за тем, с целью как можно быстрее выкинуть продукт на рынок, при случае жертвуя безопасностью как самого приложения, в такой степени и обслуживающего его облачного сервиса.
Больше того, даже если услуга и приложения созданы с учетом высоких требований к безопасности, сие не значит, что как сейчас они находятся в полной безопасности.
И тот и другой день обнаруживаются много ошибок и уязвимостей в различных системах и сервисах, держи которые завязаны как приложения, в такой степени и сервисы. Таким образом, действие поддержания сервиса и приложения в безопасном состоянии является перманентным, а следственно и трудозатратным – не по сию пору готовы за это воздав, не у всех есть компетентные штат», — отмечает критик.
