Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Błędy twórców aplikacji mobilnych na Androida narażają ponad 100 milionów użytkowników na wyciek danych

24 maja 2021, 10:14 | W biegu | komentarze 4
Tagi: ,

Według najnowszego raportu firmy CheckPoint błędna konfiguracja (np. brak uwierzytelniania w bazie danych czasu rzeczywistego czy wystawione klucze prywatne) w 23 aplikacjach mobilnych na Androida naraziła ponad 100 milionów użytkowników na wyciek danych. Badacze stworzyli również prostą tabelkę przedstawiającą liczbę pobrań, rodzaj zagrożonych danych i rodzaj podatności badanych aplikacji:

CheckPoint jako przykład błędnej konfiguracji bazy danych czasu rzeczywistego podaje aplikację Astro Guru, która naraziła 10 milionów użytkowników na wyciek danych takich jak: imię i nazwisko, data urodzenia, płeć, lokalizacja, adres e-mail czy szczegóły płatności:

Z kolei w przypadku aplikacji Through T’Leva ten sam błąd oznaczał wyciek numeru telefonu oraz prywatnych wiadomości między kierowcami i pasażerami:

Powiadomienia push

Powiadomienia push są to wiadomości przekazywane użytkownikowi przez aplikacje mobilne. Dzięki notyfikacjom aplikacje mogą informować nas o nowych wiadomościach na czacie, otrzymanych e-mailach, warunkach pogodowych czy statusie przelewu:

Część deweloperów aplikacji mobilnych nieświadomie umieszcza w kodzie źródłowym klucze prywatne, pozwalające na wysyłanie takich powiadomień:

Tego typu błąd może zostać wykorzystany przez przestępców do wysłania złośliwego powiadomienia, które podstępem skłoniłoby użytkowników aplikacji do odwiedzenia strony phishingowej.

Zamiatanie pod dywan

Badacze bezpieczeństwa zwrócili również uwagę na dość niepokojące zjawisko, w którym programiści próbują ukryć „wrażliwe” klucze dostępowe za pomocą base64 czy xora…

Tego typu działania budują fałszywe poczucie bezpieczeństwa, lecz w rzeczywistości takie „zabezpieczenie” jest bardzo proste do obejścia:

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Skąd się wzięła godzina urodzenia? Bo zauważyłem także taką kolumnę.

    Odpowiedz
  2. asdsad

    Wychodzi na to, że super nowoczesny telefon za 3 tysie, który miał zastąpić 3/4 komputera, nadaje się tylko do dzwonienia.

    Odpowiedz
  3. Tówj ncik

    Czyli mówicie, że musze sobie kupic 4 telefony, aby zachować w pełni cyfrową higienę?Jeden dumb phone jako tel domowy, 1 smartphone jako tel biznesowy, 1 smartphone do życia towarzyskiego i, 1 smartphone do grania w głupie gierki z backdorami? Najlepiej, aby każdy miał inny OS.

    Odpowiedz
  4. Adam

    Jest gdzieś lista tych aplikacji? dobrze byłoby przecież wiedzieć czy jakiejś się nie ma oprócz wymienionych zaledwie dwóch

    Odpowiedz

Odpowiedz