За даними компанії Check Point, через неправильну конфігурацію низка додатків розкривають конфіденційні дані більше 100 млн. користувачів.
“Не дотримуючись найкращих практик конфігурації і інтегрування сторонніх хмарних сервісів із додатками, розробники ставлять під загрозу персональні дані мільйонів користувачів. У багатьох випадках проблема зачіпає користувачів, але в деяких – і самих розробників. Неправильна конфігурація піддає ризику персональні дані користувачів і внутрішні ресурси розробників, такі як доступ до механізмів оновлення, сховища тощо”, – повідомили дослідники.
Фахівці вивчили 23 Android-додатки з офіційного магазину Google Play Store, завантажені від 10 тис. до 10 млн. разів, в тому числі Astro Guru, iFax, Logo Maker, Screen Recorder і T’Leva.
Як пояснили дослідники, проблема існує через неправильну конфігурації баз даних в реальному часі, push-повідомлень і ключів хмарного сховища, що призводить до витоку електронних листів, номерів телефонів, розташування, паролів, резервних копій, історій браузера і фотографій.
Завдяки відсутності механізмів аутентифікації дослідникам вдалося отримати дані, що належать користувачам анголського додатку таксі T’Leva, включаючи повідомлення, якими обмінюються водії і пасажири, а також повні імена водіїв, номери телефонів, пункти призначення і місця посадки пасажирів.
Більш того, дослідники виявили, що розробники додатків вбудували ключі, необхідні для відправки push-повідомлень і доступу до хмарним сховищ, прямо в додатку. Це може не тільки спростити зловмисникам відправку повідомлень від імені розробника, але також може бути використано навіть для направлення користувачів на фішингову сторінку, що стане точкою входу для більш складних атак.
Вбудовування ключів доступу до хмарного сховища в додатки також відкриває двері для інших атак, що дозволяють зловмисникам викрадати з хмари дані. Саме це дослідники виявили в двох додатках, Screen Recorder і iFax, завдяки чому їм вдалося отримати доступ до записів екрану і відправленим факсом документам.
Check Point повідомили про свої знахідки розробникам додатків, але лише кілька з них виправили недоліки в конфігурації.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як завантажити дані Google Maps? ІНСТРУКЦІЯ
Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ
Як створити надійний пароль? ПОРАДИ
Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ
Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?
До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.
Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.
Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.
Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.