Apple и Android: опасные утечки в приложениях
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Новое исследование компании Zimperium выявило: мобильные приложения — теперь передовая линия в битве за безопасность данных. Особенно тревожит тот факт, что приложения на устройствах iOS (айфоны, айпады) даже чаще, чем их конкуренты на Android, становятся источником утечки конфиденциальных данных. В докладе указано: более половины приложений для iOS и примерно треть приложений Android вольно разбрасываются чувствительной пользовательской информацией. Это открывает киберпреступникам прямой путь к важнейшим корпоративным системам и личным данным пользователей.
Но на этом волнения не заканчиваются. Исследователи подсчитали, что уже три из тысячи мобильных устройств заражены вредоносными программами, а каждый пятый смартфон на Android хоть раз сталкивался с вредоносным ПО в открытом доступе. Мобильные приложения (во множестве случаев) передают внутренние средства связи (API, специальный программный «мост») прямо на незащищённые устройства пользователя. Это ставит под угрозу защиту: злоумышленники могут перехватывать трафик, изменять поведение приложений и делать вредоносные запросы, маскируя их под безобидные.
Обычные защитные инструменты –-файрволы, прокси, шлюзы — с этим справиться не способны. Нужно гораздо глубже защищать данные на самом устройстве, говорят эксперты Zimperium: «Традиционными методами не остановить атаки внутри приложения». Проблемы касаются не только самого соединения, но и того, как приложения хранят данные на телефонах.
Среди главных уязвимостей — записи чувствительных данных в технические журналы (console logs), внешнюю память (external storage) и незащищённое локальное хранилище. Например, 6% из топ-100 Android-приложений пишут персональные данные в журналы, а 4% — сохраняют их на открытом месте, доступном другим приложениям. Даже локальное хранилище может стать уязвимым, если злоумышленник получит доступ к устройству.
Кроме того, почти треть всех приложений (31%) и 37% из топ-100 отправляют личные данные на удалённые серверы, часто без достаточного шифрования. Некоторые приложения используют готовые модули (SDK), которые тайно крадут данные: регистрируют действия, отслеживают GPS и отправляют сведения на внешние ресурсы. И всё это — даже в официальных магазинах приложений от Google и Apple. Напоминая: для защиты бизнеса и пользователей, к API внутри мобильных приложений нужно относиться крайне серьёзно, иначе риски потерь — и денег, и репутации — будут только расти.
PEREC.RU
Теги: безопасность, мобильные приложения, данные, утечки, iOS, Android, API, вирусы, SDK.
Исследование Zimperium — это эпитафия иллюзиям пользователей iPhone и Android. Каждый верит, что личные и рабочие данные защищены. Реальность куда проще: миллионы приложений с радостью отправляют приватную информацию наружу — либо во внутренние журналы, либо на внешний сервер, часто вообще без намёка на шифрование. Некоторые приложения, идущие из официальных магазинов, оснащаются «бонусными» SDK — теми самыми, которые тихо тянут вуайеристическую лямку, следят за действиями, отслеживают GPS, передают данные в неизвестность.
API применяют по типу «мостов» между приложениями и серверами. Но мобильные приложения — это как пристань без сторожа: любой может незаметно использовать эти мосты для хищения данных. Злоумышленники особо не утруждаются — обычные инструменты защиты не срабатывают: файрволы и прокси бессильны. Беда и в том, куда хранят и как обрабатывают персональные сведения: в консоли, на внешней памяти, в незащищённых чанках данных, где хватит одного похитителя, чтобы узнать о владельце почти всё.
В биографии мобильных устройств написано: три из тысячи уже живут вместе с вредоносом, а пятая часть Android-устройств прошла «боевое крещение» вирусом. Всё это — нерадостный знак для компаний, передающих важные сведения через мобильные платформы. Корпорациям советуют укреплять внутренние средства защиты, но пока прибыль не пахнет страхом, данные продолжают разгуливать. Хорошо хоть, пользователей предупредили — может, кто-то и перестанет выкладывать номер паспорта в новый суперудобный МегаЧат 2.0.
