Новости и события » Общество » Медицинские приложения раскрывают данные миллионов пользователей

Медицинские приложения раскрывают данные миллионов пользователей

Медицинские приложения раскрывают данные миллионов пользователей

Исследование, проведенное партнером маркетингового агентства Knight Ink Алиссой Найт (Alissa Knight) от имени компании Approov по защите мобильных API-интерфейсов, показало, что приложения мобильного здравоохранения уязвимы к API-атакам. В рамках подобных атак неавторизованный злоумышленник может получить доступ к защищенной медицинской информации и персональным данным жертвы.

В ходе исследования был проведен анализ 30 популярных приложений мобильного здравоохранения со средним числом загрузок около 772 тыс. Ни в одном из проанализированных приложений не было реализовано закрепление сертификатов, подвергая пользователей угрозам MitM-атак, а 77% из них содержали встроенные API-ключи, токены и учетные данные. Половина API не аутентифицировала запросы с помощью токенов, а четверть приложений (27%) не были защищены от обратной разработки.

Половина записей, предоставляемых приложениями мобильного здравоохранения, содержала имена, адреса, даты рождения, номера социального страхования, данные об аллергиях, лекарствах и другую конфиденциальную информацию пользователей.

По словам эксперта, все протестированные конечные точки API были уязвимы к BOLA-атакам (broken object level authorization), обеспечивающим доступ к конфиденциальным медицинским данным даже пациентов, не привязанных к учетной записи врача. Половина протестированных API обеспечивала доступ к информации о патологиях, рентгеновским снимкам и клиническим результатам других пациентов.


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх