Мобільні додатки, "зліплені умільцями", крадуть ваші дані

13 листопада 2017, 17:24 | Технології
фото з InternetUA
Розмір тексту:

Компанія Appthority, що займається питаннями безпеки мобільних пристроїв в корпоративному середовищі, заявила, що близько 700 додатків в корпоративній мобільному середовищі, включаючи більше 170, які розміщені в офіційних магазинах додатків, можуть бути схильні до ризику шпигунства через уразливість Eavesdropper. Про це повідомляє TechNewsWorld.

Компанія розповіла, що вразливі додатки для Android-пристроїв були завантажені близько 180 мільйонів разів.

Згідно Appthority, Eavesdropper є результатом того, що розробники "жорстко" кодують облікові дані в мобільних додатках, які використовують Twilio Rest API або SDK. Це суперечить практиці, яку Twilio рекомендує у своїй власній документації, і Twilio вже звернулася до товариства розробників для роботи із забезпечення безпеки облікових записів.

Appthority вперше виявила вразливість ще в квітні.

Повідомляється, що уразливість надає величезну кількість конфіденційних даних, включаючи записи дзвінків, хвилини викликів, зроблених на мобільних пристроях, і хвилини звукових записів дзвінків, а також зміст текстових повідомлень SMS і MMS.

Неправильне кодування Уразливість Eavesdropper не обмежується додатками, створеними з використанням Twilio Rest API або SDK.

«Основна проблема - це лінь розробника, і це не таке вже велике відкриття», - сказав Стів Блум, головний аналітик Tellus Venture Associates.

«З додатками, що розробляються однією людиною або невеличкою командою, немає звичайних перевірок контролю якості, - додав Блум.

На жаль, занадто часто питання безпеки розглядається як "місця виникнення витрат", а конфіденційність розглядається як генератор доходів для компанії, яка розробляє додаток. Тому додатки часто не захищені, а конфіденційності не існує - щоб мінімізувати витрати і максимізувати прибуток.

Єдиний спосіб боротьби з цими порушеннями - фактично заплатити повну ціну за використання додатків і відхилення додатків, що підтримують рекламу.

Крім того, уразливість не зникає після того, як порушене додаток було видалено з пристрою користувача. Замість цього дані додатки залишаються відкритими.

Деякі користувачі можуть купувати телефони з попередньо завантаженими додатками, які можуть загрожувати їх особистої інформації.

«Twilio може змусити розробників оновити свій код додатка шляхом анулювання всіх облікових даних доступу до їх вразливим API-інтерфейсів послуг», - відзначають в TechNewsWorld.



Схоже, що у користувачів мало варіантів, і для споживачів може бути важко навіть побачити вразливість додатків, порушених Eavesdropper.

Відзначається, що це проблема виникла в чималому ступені, тому що розробники були неакуратними. Крім того, частково це споживча проблема, адже багато людей віддають перевагу простоті використання безпеки мобільних пристроїв.

«Споживачі як і раніше занадто недбало ставляться до своєї конфіденційності і вважають за краще не платити», - відзначили в Recon Analytics.

За матеріалами: technewsworld.com



Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь