ИБ-исследователи из Check Point Research сообщили об обнаружении ряда серьезных проблем в конфигурации популярных Android-приложений, из-за чего данные 100 млн пользователей оказались открытыми для сбора. Об этом говорится в пресс-релизе компании Check Point, поступившем в «Газету.Ru».
Речь идет о 23 популярных программах, среди которых приложение для вызова такси, фоторедактор, сервис для записи экрана и др. Check Point раскрыли всего пять из них – Screen Recorder, iFax, Astro Guru, Logo Maker и T'Leva. Количество скачиваний этих приложений в Google Play варьируется от 10 тыс. до 10 млн.
Как удалось узнать экспертам, множество разработчиков неправильно используют сторонние облачные сервисы, такие как базы данных, диспетчеры уведомлений и облачные хранилища.
Это создало возможность для утечки самых разных персональных данных пользователей: от паролей и сообщений из чатов до геолокации и истории браузера.
«Большинство приложений, которые мы изучили, до сих пор не устранили эти уязвимости. Неправильное хранение пользовательских данных, особенно, если злоумышленники смогут получить к ним доступ, — это очень серьезная проблема, — рассказывает Авиран Хазум, руководитель группы исследователей мобильных угроз Check Point Software. — В конечном итоге пользователи таких приложений рискуют стать жертвами различных атак: от мошенничества и фишинга до кражи персональной информации и взлома аккаунтов на других сервисах.
В ходе нашего исследования мы получили неутешительные результаты: разработчики подвергают риску не только свои данные, но и данные пользователей.
Из-за того, что разработчики зачастую неправильно интегрируют и настраивают сторонние облачные сервисы, в открытом доступе оказались данные десятков миллионов пользователей. Мы надеемся, что наше исследование убедит сообщество разработчиков в необходимости уделять особое внимание подключению сторонних облачных сервисов. Мы рекомендуем разработчикам проверить свои приложения на выявленные нами уязвимости и предпринять необходимые меры по их устранению».
Проверка приложений на безопасность в Google Play в высокой степени автоматизирована и касается в большей степени поиска вредоносных компонентов в ПО, пояснил «Газете.Ru» Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». По его словам, ошибки безопасности, допущенные в коде при программировании приложений, алгоритмы Google Play не выявляют, поэтому подобные приложения могут быть размещены в официальном магазине и при этом содержать потенциальную угрозу для безопасности пользовательских данных.
Кроме того, неправильная конфигурация приложения — это не злой умысел разработчиков, а просто ошибка, указывает Ондржей Дэвид, руководитель группы анализа вредоносных программ в Avast. Учитывая количество доступных сервисов и их параметры конфигурации, найти среди них определенный набор уязвимостей очень сложно.
И хотя Google использует передовые технологии и регулярно проверяет приложения, выявить такие проблемы в больших количествах чрезвычайно сложно, поэтому ответственность за безопасность приложения и пользовательских данных в значительной степени лежит на разработчиках.
Что же касается проблемы так называемых некорректных конфигураций (Misconfiguration), то она существует с тех пор, как появились облачные сервисы, сообщил Виктор Чебышев, исследователь мобильных угроз в «Лаборатории Касперского».
«Дело в том, что разработчики зачастую гонятся за тем, чтобы как можно быстрее выпустить продукт на рынок, порой жертвуя безопасностью как самого приложения, так и обслуживающего его облачного сервиса.
Более того, даже если сервис и приложения созданы с учетом высоких требований к безопасности, это не значит, что именно сейчас они находятся в полной безопасности.
Каждый день обнаруживаются много ошибок и уязвимостей в различных системах и сервисах, на которые завязаны как приложения, так и сервисы. Таким образом, процесс поддержания сервиса и приложения в безопасном состоянии является перманентным, а значит и трудозатратным – не все готовы за это платить, не у всех есть компетентные кадры», — отмечает эксперт.