Разработчики мобильного ПО случайно раскрыли данные 100 миллионов пользователей

Специалисты по защите информации опубликовали доклад об анализе приложений для ОС Android. Анализ 23 приложений показал, что ошибочная конфигурация привязанных к ним облачных сервисов позволяет получить доступ к всевозможной личной информации сотни миллионов человек.

darkreading.com

Команда Check Point Research (CPR) выяснила, что для 23 приложений характерны всевозможные ошибки конфигурации, дающие доступ к электронным письмам, сообщениям в чатах, геолокационным данным, паролям и фотографиям пользователей. Под угрозой оказались даже собственные информационные ресурсы разработчиков.

В 13 из этих приложений эксперты обнаружили конфиденциальные данные из актуальных баз, хранилище для которых разработчикам предоставляли всевозможные облачные сервисы, синхронизированные с приложениями клиентов. Доступ к некоторым базам не был даже защищён должным образом, поэтому исследователи смогли получить данные чатов и пароли, просто отправив программные запросы к базам.

Например, неназванное «популярное приложение такси» с подобным сбоем настроек загружено пользователями более 50 000 раз. Эксперты смогли читать чаты между пассажирами и водителями, узнали полные имена пользователей, телефонные номера и адреса отправления и пунктов назначения.

Команда также обнаружила, что в некоторые программы интегрированы всевозможные ключи, позволяющие не только попадать в облако, но и дающие злоумышленникам возможность отправлять поддельные push-уведомления.

Что касается облачных хранилищ — анализ программы Screen Recorder (более 10 миллионов загрузок) позволил обнаружить ключи, дающие доступ ко всем записям, а приложение iFax содержало данные для авторизации и собственно сохранённые факсимильные сообщения.

По сведениям исследователей, о находках компания сообщила в Google и всем разработчикам «дефектных» приложений, некоторые из которых уже выпустили обновления-«заплатки».