Google Sklep Play i 23 wadliwe aplikacje. Dane 100 mln osób na wyciągnięcie ręki
Dane 100 mln użytkowników aplikacji na Androida były "wystawione na kradzież" - ostrzega Check Point Research. Na tapet wzięto zaledwie 23 programy z Google Sklepu Play, w których wykryto szereg niedociągnięć w zakresie bezpieczeństwa.
20.05.2021 19:03
Jak się okazuje, głównym problemem są błędne konfiguracje usług chmurowych świadczonych przez firmy trzecie. Przez niedopatrzenia deweloperów aplikacji, bezpieczeństwo użytkowników jest więc zagrożone. W tym przypadku mówi się, że bez problemu można było dotrzeć bez autoryzacji do e-maili, wiadomości z czatu, lokalizacji, haseł czy zdjęć. Ich zdobycie to otwarta droga do szantażu i innych oszustw.
Jako przykład podawane są aplikacje, do których badaczom bez problemu udało się włamać, a tym samym uzyskać dostęp do takich danych, które w przyszłości mogłyby posłużyć do kradzieży tożsamości użytkowników czy przejęcia ich kont (dzięki dostępowi do danych logowania). Co istotne, choć konkretne nazwy nie padają, nie chodzi tylko o programy niszowe. Sprawdzono aplikacje z liczbą pobrań od 10 tys. do 10 mln.
To pokazuje, że nawet najpopularniejsze aplikacje na Androida bywają niedostatecznie zabezpieczone, a co za tym idzie - ryzykowne w użyciu. Jako przykłady Check Point Research podaje aplikacje Astro Guru oferującą horoskopy (ponad 10 mln pobrań) czy T'Leva (ponad 50 tys. pobrań) do obsługi przewozów ludzi. W przypadku tej drugiej luki w zabezpieczeniach pozwalały dotrzeć m.in. do imion, nazwisk, numerów telefonów i lokalizacji klientów.
Inne niebezpieczne przykłady z opisywanej grupy 23 aplikacji to program Screen Recorder (ponad 10 mln pobrań) oraz iFax (ponad 500 tys. użytkowników). Ten drugi, z uwagi na złą konfigurację przechowywania kluczy, pozwalał atakującemu dotrzeć do wszystkich dokumentów przesyłanych przez użytkowników.
"Większość aplikacji, którym się przyjrzeliśmy, nadal udostępnia dane" - tłumaczy mówi Aviran Hazum, menedżer ds. Badań mobilnych w firmie Check Point Software. "Gromadzenie danych, zwłaszcza przez cyberprzestępców, jest zawsze niebezpiecznym procederem. Ostatecznie ofiary stają się podatne na wiele różnych wektorów ataków, takich jak podszywanie się pod inne osoby, kradzież tożsamości, wyłudzanie informacji czy wymazywanie usług" - dodaje.
Badacze dodają, że po odkryciu luk w zabezpieczeniach aplikacji zwrócili się zarówno do Google'a, jak i deweloperów konkretnych programów ze swoimi spostrzeżeniami. Niestety, od tamtego czasu tylko kilku programistów wprowadziło do swoich aplikacji odpowiednie poprawki bezpieczeństwa.