Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, обнаружила, что разработчики мобильных приложений раскрыли персональные данные более 100 миллионов пользователей. Изучив 23 Android-приложения, специалисты CPR выяснили, что множество разработчиков неправильно используют сторонние облачные сервисы, такие как базы данных, диспетчеры уведомлений и облачные хранилища, что приводит к утечкам не только их данных, но и персональной информации пользователей, включая адрес электронной почты, историю переписки в мессенджерах, местоположение, а также фотографии и пароли.
Неправильная конфигурация баз данных
В базе данных информация не хранятся статично, как на диске, а постоянно обновляется. Разработчики приложений используют их для хранения данных в облаке. Исследователям Check Point Research удалось получить доступ к персональной информации из баз данных для 13 приложений на Android. Эти приложения пользователи скачали от 10 000 до 10 миллионов раз. Если эти данные попадут в руки злоумышленников, они смогут их украсть, использовать в мошеннических целях, а также попытаться использовать совпадающие логины и пароли на других сервисах.
Исследователи CPR приводят пример трех приложений из Google Play Store, в которых была найдена уязвимость в конфигурации баз данных реального времени:
Название приложения Описание Открытые данные Количество скачиваний
Astro Guru Популярное астрологическое приложение для хиромантии и чтения гороскопов Имя, дата рождения, пол, местоположение, адрес электронной почты, платежная информация 10 миллионов
T’Leva Такси Переписка водителя с пассажиром, полное имя пользователя, номер телефона и местоположение (точка посадки и пункт назначения) 50 тысяч
Logo Maker Бесплатное приложение для графического дизайна с шаблонами для создания логотипов Адрес электронной почты, пароль, логин, ID пользователя 10 миллионов
Встроенные в приложения ключи push-уведомлений
Уведомления необходимы разработчикам для взаимодействия с пользователями. Большинству служб push-уведомлений требуется ключ для распознавания личности отправителя запроса. Исследователи CPR обнаружили, что эти ключи встроены в сами приложения. Поскольку данные в диспетчерах push-уведомлений не всегда конфиденциальны, возможности отправлять уведомления от имени разработчика более чем достаточно, чтобы привлечь мошенников.
Встроенные в приложения ключи облачного хранилища
Облачное хранилище в мобильных приложениях — это удобное решение для доступа к файлам как для разработчика, так и для установленного приложения. Исследователи CPR обнаружили в Google Play приложения с открытыми ключами облачного хранилища. Ниже приведены два примера от экспертов Check Point Research:
Название приложения Описание Открытые данные Количество скачиваний
Screen Recorder Приложение для записи экрана устройства, которое хранит данные в облачном хранилище Доступ ко всем записям экрана Более 10 миллионов
iFax Приложение для отправки и получения факсов с телефона Все данные, переданные по факсу 500 тысяч
Многие разработчики приложений знают, что хранить ключи облачных сервисов в своих приложениях — плохая идея. Проанализировав десятки примеров, исследователи CPR обнаружили несколько случаев, когда разработчики пытались скрыть проблему с помощью решения, которое не устраняло уязвимость.
«Большинство приложений, которые мы изучили, до сих пор не устранили эти уязвимости. Неправильное хранение пользовательских данных, особенно, если злоумышленники смогут получить к ним доступ, — это очень серьезная проблема. В конечном итоге пользователи таких приложений рискуют стать жертвами различных атак: от мошенничества и фишинга до кражи персональной информации и взлома аккаунтов на других сервисах. В ходе нашего исследования мы получили неутешительные результаты: разработчики подвергают риску не только свои данные, но и данные пользователей, — говорит Авиран Хазум, руководитель группы исследователей мобильных угроз Check Point Software. — Из-за того, что разработчики зачастую неправильно интегрируют и настраивают сторонние облачные сервисы, в открытом доступе оказались данные десятков миллионов пользователей. Мы надеемся, что наше исследование убедит сообщество разработчиков в необходимости уделять особое внимание подключению сторонних облачных сервисов. Мы рекомендуем разработчикам проверить свои приложения на выявленные нами уязвимости и предпринять необходимые меры по их устранению».
Ответственное раскрытие информации об уязвимости
Специалисты Check Point Research сообщили о найденных уязвимостях Google и разработчикам. Впоследствии разработчики одного из приложений изменили его конфигурацию.
Как обезопасить себя
Для защиты от уязвимостей, описанных в этом исследовании, эксперты Check Point Research советуют установить эффективное решение защиты от мобильных угроз, способное обнаруживать различные векторы атак и реагировать на них.
