Два десятка Android-приложений способны слить данные 100 млн юзеров
Главная » Новости

Два десятка Android-приложений способны слить данные 100 млн юзеров

Татьяна Никитина 20 Мая 2021 - 19:24
...
Два десятка Android-приложений способны слить данные 100 млн юзеров

Проведенный в Check Point анализ 23 произвольно выбранных Android-приложений показал, что они ставят под угрозу данные пользователей из-за тривиальных ошибок, допущенных разработчиками при их привязке к сторонним облачным сервисам. На долю этих недавно появившихся в Google Play программ приходится более 100 млн загрузок.

Из наиболее распространенных недочетов исследователи отметили отсутствие парольной защиты базы данных реального времени на стороне сервера, а также вшитые в код ключи и токены для доступа к облачному хранилищу или сервису пуш-уведомлений.

В базах данных, не защищенных от неавторизованного доступа, была найдена следующая информация:

  • имена пользователей, незашифрованные пароли, email-адреса, номера телефонов;
  • фото профилей, сообщения в чатах, в том числе приватных, состав групп;
  • истории браузеров с развернутыми URL;
  • ID устройств, идентификаторы Facebook, псевдонимы:
  • СМС-сообщения, email-сообщения, ПИН-коды;
  • данные о местоположении пользователей, скриншоты;
  • биллинги, накладные, рецепты на лекарства;
  • созданные пользователем документы, аудиозаписи, фотоальбомы;
  • содержимое журналов событий, резервные копии, данные сайтов, тестовые версии приложений;
  • заявки на снятие подписки, на получение пуш-уведомлений.

«Ошибки в конфигурации базы данных реального времени — отнюдь не новое явление, — пишут исследователи. — Они по-прежнему широко распространены и затрагивают миллионы пользователей».

Ключи доступа, оставленные в коде, позволяют, к примеру, рассылать пуш-сообщения всем пользователям программы. Злоумышленники могут использовать такую возможность для фишинга. Доступ стороннего лица к облачному хранилищу приложения грозит раскрытием конфиденциальной информации.

В отчете Check Point упомянуты только пять названий проанализированных Android-приложений: Logo Maker, Astro Guru, T’Leva, Screen Recorder и iFax. Тем не менее, найденные ошибки разработчика, действительно, широко распространены и повторяются вновь и вновь — об этом свидетельствуют результаты аналогичных исследований Zimperium, Appthority и других специалистов, не теряющих надежду на улучшение ситуации с безопасностью софта для мобильных устройств.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч
Татьяна Никитина 21 Ноября 2024 - 21:05
Уязвимости программ Малый и средний бизнесКорпорации Positive Technologies
Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Злоумышленники все чаще используют для атак пиратские зловреды
Новость
Злоумышленники все чаще используют для атак пиратские зловре...
Google Messages использует маячки из чатов для тренировки ИИ-антиспама
Новость
Google Messages использует маячки из чатов для тренировки ИИ...
Использующие Telegram мошенники выдают Android-вредоносов за фото
Новость
Использующие Telegram мошенники выдают Android-вредоносов за...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.