Газета.Ru в Telegram
Новые комментарии +

Лень ломает приложения

Исследователи обнаружили 56 млн потенциальных уязвимостей более чем в тысяче приложений

Немецкие исследователи обнаружили потенциальную «дыру» в хранении пользовательских данных сторонними приложениями. По их словам, эта угроза может включать в себя более 56 млн единиц уязвимой информации. Эксперты рассказали «Газете.Ru», насколько серьезной может быть угроза и как с ней необходимо бороться.

Исследователям из Германии удалось обнаружить около 56 млн единиц незащищенной информации, сообщает Reuters. Они включают в себя как такие безобидные данные, как сведения из игр, так и информацию из социальных сетей, переписок, медицинские данные и сведения о банковских транзакциях.

Один из исследователей Зигфрид Растофер заявил, что практически в каждой категории приложений есть программа, которая несет в себе уязвимость. По оценкам экспертов, всего подобных незащищенных записей может быть несколько миллиардов.

Проблема, по словам аналитиков, заключается в методе, который используют разработчики приложений для хранения данных. В данный момент часто используются сервисы облачного хранения данных наподобие Amazon Web Services и Facebook Parse. И хотя эти сервисы предлагают специальные методы защиты хранящейся на них информации, большинство используют стандартный метод связки профиля и привязанной к нему информации, состоящий из определенной последовательности букв и цифр (токенов).

Этот токен хранится в приложении, и хакеры, по словам главы группы инженеров Эрика Боддена, могут без особых проблем получить его, что позволяет получить доступ к защищенным данным, хранящимся на сервере.

По словам исследователей, пока нет задокументированных случаев использования данной уязвимости. Но в Facebook уже работают над решением этой проблемы и повышением безопасности хранящихся у них данных. В Apple также повысят требования к приложениям, публикуемым в магазине AppStore, в соответствии с данным исследованием.

Как заявил «Газете.Ru» руководитель группы исследования мобильных угроз «Лаборатории Касперского» Виктор Чебышев, данная угроза может быть очень серьезной. Эксперт связывает это с доминированием низкой культуры написания кода, при которой не все разработчики обеспокоены безопасностью пользователя. «Отсюда и проблемы с тем, что разработчики используют сторонние API по умолчанию без шифрования. В данном случае из-за лени для одного приложения используется по сути общий ключ доступа к информации», — указал Чебышев.

Таким образом, по его словам, установив себе приложение, киберпреступник может получить доступ к данным многих пользователей, и для этого ему достаточно иметь навыки реверс-инжиниринга.

Чтобы бороться с этим, необходимо повышать качество кода и всегда использовать шифрование, особенно когда речь идет о передаче данных пользователей. «С точки зрения пользователя универсальной защиты от этого не существует, единственное, что мы можем посоветовать, — не использовать систему логина через Facebook/Twitter/другие социальные сети на всех подряд сервисах и в других приложениях», — добавил Чебышев.

Как рассказал «Газете.Ru» заместитель генерального директора компании Zecurion Александр Ковалев, если система безопасности приложения организована правильно, то одного токена будет недостаточно. Есть разнообразные уровни защиты, которые не позволяют подключаться к серверу по одному лишь «выдернутому» ключу. «На самом сервере также может быть многоуровневая система защиты, и данный токен может быть базовым и лишь запускать механизм разблокировки данных для конкретного приложения, который включает в себя несколько других ключей шифрования», — указал Ковалев.

Как он отметил, хорошие разработчики делают нехитрую, но действенную систему защиты данных, при которой сервис состоит из трех частей: это само приложение на смартфоне, серверная часть, которая отвечает за обработку данных, и сама база данных, на которой информация хранится. Все это должно быть максимально обособлено друг от друга и должно взаимодействовать между собой только с помощью шифровальных методов.

Кроме того, приложения могут сами зашифровывать и расшифровывать хранящиеся на сервере данные, и даже если их удастся получить, прочитать хранящуюся в них информацию без другого ключа, ключа расшифровки, будет невозможно, добавил эксперт.

«Если же говорить о банковских приложениях, то там, как правило, авторизуется уже не приложение, но само устройство», — отметил Ковалев. По его словам, даже если есть все ключи шифрования, без сведений о самом аппарате подключиться к банку будет невозможно. Сведения же хранятся в системе устройства, и таким образом без физического доступа к смартфону получить данные с сервера банка нельзя.

Однако это все же в идеальных условиях.

По факту же, как показало исследование немецких ученых, получение доступа к данным приложения, к сожалению, проще, и потому пока проблема носит массовый характер.

Новости и материалы
Ученые выяснили, чем вредна скука на работе и как от нее избавиться
В российской армии нашли средство борьбы против эскадрилий беспилотников
Кулеба обозначил время, когда могут пройти переговоры между Украиной и Россией
Археологи нашли средневековый замок со рвом под отелем во Франции
Слова Байдена в адрес руководства России назвали непристойными
Россиянам рассказали о лайфхаках в запоминании иностранных слов
Бывший соратник Трампа боится, что тот выведет США из НАТО
В Канаде заявили об «опустошении кладовки» из-за Украины
В Пентагоне заявили, что КНР не хочет воссоединения с Тайванем силой
Парламент Греции не поддержал вотум недоверия нынешнему правительству
В нескольких регионах Украины слышны взрывы
Призывников не отправят в зону СВО
С конвейера бывшего завода Hyundai в Петербурге в 2024 году сойдут 25 тысяч автомобилей
В Британии заявили, что Украина может проиграть в конфликте с РФ к лету
В Европе усиливают безопасность на фоне приближения роста угрозы террора
Режиссера Кристофера Нолана наградят рыцарским титулом в Великобритании
Microsoft научит свой браузер потреблять меньше оперативной памяти
Вышла дешевая приставка в стиле Game Boy от Anbernic
Все новости