Если и был когда-либо убедительный повод не доверять свои данные сторонним разработчикам приложений, то именно этот. Компания, занимающаяся мобильной безопасностью, обнаружила утечку данных из тысяч сторонних приложений для Android и iOS через облачное хранилище.
Обнаружена утечка данных
Было бы здорово сказать, что это потрясающая новость, но это не так. На самом деле неудивительно, что пользовательские данные были раскрыты, в то время как ничего не подозревающие мобильные пользователи продолжали настраивать свои многочисленные учетные записи.
Все сводится к неправильному обращению с данными. Это не выглядит вопиющим – это была просто невнимательность. Вместо того, чтобы хранить данные на собственных серверах, сторонние разработчики мобильных приложений небрежно хранили пользовательские данные в облаке и более или менее оставляли дверь открытой.
Компания Zimperium, занимающаяся мобильной безопасностью, провела автоматический анализ 1,3 миллиона приложений для Android и iOS, проверяя на наличие неправильных конфигураций хранилища данных. Было обнаружено, что 84 000 приложений для Android и почти 47 000 приложений для iOS используют общедоступные облачные службы для хранения пользовательских данных. Использовались такие сервисы, как Amazon Web Services, Google Cloud и Microsoft Azure. Из этих приложений, использующих облачное хранилище, 14 % раскрывают личную информацию пользователей, включая пароли и даже медицинскую информацию.
«Это тревожная тенденция», — говорит Шридхар Миттал, генеральный директор Zimperium. «Многие из этих приложений имеют облачное хранилище, которое не было должным образом настроено разработчиком или кем-то, кто его настроил, и из-за этого данные видны практически любому. И у большинства из нас уже есть некоторые из этих приложений».
Хуже всего то, что исследователи обратились к некоторым разработчикам и получили очень мало ответов, а данные многих приложений все еще доступны.
Потенциально утечки данных включают в себя много личной информации пользователей. У некоторых приложений было несколько тысяч пользователей, а у других — несколько миллионов. Среди раскрытых данных — финансовые данные из мобильного кошелька, принадлежащего компании из списка Fortune 500. То же касается и данных о транспорте большого города и данных тестирования медицинских приложений.
Zimperium не пытался выяснить, нашли ли злоумышленники раскрытые данные, но злоумышленники наверняка смогут использовать те же общедоступные методы, которые использовали исследователи для доступа к информации. И они не смогут просто просматривать открытые данные. Некоторые неправильные настройки позволят злоумышленникам изменить или перезаписать данные.
Кто несет ответственность за этот беспорядок?
Поставщики облачных услуг стараются следить за неправильными конфигурациями, но на самом деле разработчики должны проверить это хранилище и убедиться, что оно работает должным образом.
Совершенно очевидно, что неправильная конфигурация может стать широко распространенной проблемой», — сказал исследователь безопасности Уилл Стафрах. «Я видел корзины AWS с плохими разрешениями, а также видел несколько узлов VPN, предоставляющих данные. Я видел много приложений от компаний, которым следовало бы знать больше, но у которых были ужасные проблемы с безопасностью».
Zimperium также участвует в инициативе Google App Defense Alliance Initiative, проверяя приложения в магазине Play. Отличие этой работы в том, что они ищут вредоносную активность, а не случайные утечки данных из-за воздействия облака.
Mittal просто надеется после всего этого привлечь внимание к этой ситуации.
Если вы обеспокоены утечкой информации о вашей электронной почте и паролях, читайте дальше, чтобы узнать, как за этим следить.
