Пенсионный советник

Карманники расшифровали iPhone

Приложения для iPhone и Android не защищают информацию о владельцах гаджетов

Владислав Новый, Петр Канаев 15.08.2011, 17:08
jorgeq82/flickr.com (CC BY 2.0)

Приложения для смартфонов не защищают персональные данные пользователей, обнаружили аналитики. Украденный гаджет открывает преступникам доступ к кредиткам, аккаунтам в социальных сетях и всем контактам его владельца. Уязвимы большинство программ, в том числе PayPal, eBay, Gmail, Skype и Facebook.

О том, что 83% приложений для iPhone и Android-устройств плохо защищают информацию о своих владельцах, стало известно в результате исследования компании ViaForensics. Эксперты в течение 9 месяцев проверяли 100 приложений для смартфонов, в том числе PayPal, eBay, Gmail, Skype и Facebook.

Информация, которая передается или хранится в мобильных приложениях, — это логин и пароль, личная финансовая информация, список контактов, переписка и коммерческие сведения.

Многие мобильные приложения хранят эти данные, не шифруя их. В случае кражи телефона или заражения вирусом информация с мобильных приложений может легко оказаться в руках злоумышленников, отмечают эксперты.

Имена пользователей — наименее защищенная информация: 76% приложений позволяют их свободно читать. Многие приложения для входа требуют ввода имени пользователя и пароля, а поэтому, имея логин, «вы собрали половину паззла», пишут аналитики.

Прочесть пароли можно на 10% мобильных приложений. У аналитиков эта ситуация «вызывает тревогу».

Слабее всего защищены «социальные» приложения: тесты на безопасность не прошли 14 из 19 исследованных программ. Если смартфон окажется в чужих руках, то злоумышленник получит доступ к имени пользователя, списку контактов и всей переписке приложения Skype для iPhone и Android-фона.

Содержание электронной почты в приложении Gmail для Android также не зашифровано.

Тесты провалили приложения AIM (Aol Instant Messenger), а также Foursquare и LinkedIn для Android.

Потеря данных, которые хранятся в коммерческих приложениях (такая информация в основном связана с интернет-торговлей), более чувствительна для пользователей: для покупок владелец смартфона вводит номер кредитной карты.

«Ни одно ритейл-приложение не прошло тест на безопасность», — удивляются эксперты.

Самая распространенная причина такова: приложения хранят историю покупок, информацию о покупателе, в частности и его адрес. Неофициальное приложение Starbucks хранит 16-значный номер кредитки владельца смартфона. Но особо аналитики отмечают «провал» сервиса коллективных скидок Groupon.

«Приложение Groupon для Android хранит незашифрованные пароли и позволяет их восстанавливать. Это показатель того, что даже широко известные компании, которые следят за информационной безопасностью, делают ошибки в работе с мобильными приложениями», — резюмируют аналитики.

Скандал, вызванный вторжением производителей гаджетов и операционных систем в частную жизнь пользователей и масштабными утечками персональных данных, возник весной 2011 года и стал одним из самых громких в истории мировой hi-tech-индустрии.

В апреле американские ученые Аласдэр Аллан и Питер Уорден обнаружили, что гаджеты iPhone4 и iPad от корпорации Apple незаметно для пользователей ведут запись координат устройства. Файл с информацией не был зашифрован, на нем записывались данные за несколько месяцев. Вскоре выяснилось, что интернет-корпорация Google тоже собирает данные с WiFi и GPS на смартфонах, оснащенных операционной системой Android.

Позднее обнаружились «дыры» в крупнейшей социальной сети Facebook. Доступ к личным данным пользователей открылся через тэг IFRAME, с помощью которого загружаются приложения в Facebook. При установке приложений разработчики получали аутентификационные тоукены (ключи), которые содержались в ответной ссылке от Facebook. К рекламодателям утекли миллионы аутентификационных ключей к профилям пользователей социальной сети.

Сейчас потеря смартфона — это серьезная угроза утечки личных данных и финансовой информации, резюмируют аналитики ViaForensics: «Если злоумышленники получат логин и пароль к одному из приложений, возникнет риск доступа и к другим программам: многие используют один пароль для нескольких аккаунтов».