Тысячи Android и iOS-приложений оставляют пользовательские данные уязвимыми в облаке
Специалисты компании Zimperium проанализировали более 1,3 млн приложений для Android и iOS и выяснили, что около 20 тысяч допускают утечку пользовательских данных из-за некорректной настройки облачных сервисов. Это все равно, что забывать замкнуть дверь, уходя из дома, или вообще всегда держать ее открытой, отмечает Wired.
По подсчетам исследователей, около 84 тысяч Android-приложений и 47 тысяч iOS-приложений используют не собственные серверы, а публичные облачные платформы, такие как AWS, Google Cloud и Microsoft Azure. В 14% случаев были найдены ошибки в конфигурации инфраструктуры: под угрозой находится безопасность персональных данных пользователей, паролей, медицинской и другой информации из 11877 приложений для Android и 6608 приложений для iOS.
Исследователи сообщили о находке владельцам некоторых приложений, но практически никто из них не отреагировал. Данные многих приложений все еще не защищены и свободно доступны для всех желающих. По этой причине Zimperium не публикует их названия. Так или иначе, связаться с каждым разработчиком было бы довольно сложно.
Рассмотренные экспертами приложения насчитывают от нескольких тысяч до миллионов юзеров. Среди них - мобильный кошелек компании из списка Fortune 500, который оставил в открытом доступе сессионные и финансовые данные своих клиентов, транспортное приложение одного большого города, которое разбрасывает платежные данные пассажиров, и медицинское приложение с результатами анализов и фотографиями из пользовательских профилей.
С учетом количества обнаруженных приложений, компания не пыталась определить, были ли их данные уже скомпрометированы или задействованы в атаках.
Ко всему прочему, говорят эксперты Zimperium, в некоторых случаях неправильные конфигурации обеспечивали хакерам доступ ко внутренним системам разработчиков этих приложений, а также позволяли менять и переписывать данные.
В Zimperium надеются, что доклад привлечет внимание разработчиков к теме и заставит внимательнее изучить свою инфраструктуру и исправить возможные проблемы.
