Пользователям современной сети стоит быть начеку — даже привычные приложения могут быть опасными. Отправляя личную информацию или экспериментируя с неизвестными программами, можно поделиться конфиденциальными данными со злоумышленниками.

Опасные приложения

За последние годы в сети значительно выросло количество масштабных кибератак. От действий хакеров уже пострадало множество компаний и даже госучреждений. Среди них: Uber, Equifax, Yahoo, Maersk, Парламент Великобритании и даже Национальный комитет Демократической партии США.

Еще одна неприятность в сети — это получившие широкое распространение программы-вымогатели. Общий ущерб от таких программ может составлять до $121 млрд. Однако масштабные взломы могут преобразиться, потому что теперь у хакеров есть помощники — популярные мессенджеры. Как получилось, что мобильные приложения порой даже не пытаются защитить данные своих пользователей? Как список самых опасных из них возглавили Telegram, WhatsApp и Facebook Messenger?

Ваши данные уже украли

«Большинство пользовательских данных, скорее всего, уже украдены еще год назад», — «успокаивают» авторы отчета Appthority. К таким выводам специалисты пришли, проанализировав тысячу популярных приложений для Android и iOS. Неcмотря на то, что многие приложения не содержат следов вредоносного программного обеспечения и вопиющих уязвимостей, они обмениваются и хранят данные на ненадежных бекэнд-серверах. Более того, они предоставляют доступ к пользовательским данным всем желающим.

Специалисты компании проанализировали серверные подключения 1000 мобильных приложений на предмет подключения к общедоступным серверам. Для обеспечения пользователей богатыми функциональными возможностями, разработчики часто используют системы управления базами данных, в которых обнаружены уязвимости. Например: MongoDB, CouchDB, Hadoop, MySQL и ElasticSearch.

Остановимся на последнем. ElasticSearch используется для поиска и анализа данных. Он не имеет встроенного контроля безопасности и доступа, а полагается на внешнюю реализацию этих функций безопасности с помощью плагина аутентификации или API для доступа.

Эксперты нашли более 21000 серверов ElasticSearch. К ним подключались мобильные приложения, используя ненадлежащую процедуру проверки подлинности. Незащищенные серверы ElasticSearch хранили более 43 терабайт данных. В их числе конфиденциальная информация пользователя, незашифрованные учетные данные, геолокация и прочие данные.

Выбрав 39 мобильных приложений, авторы Appthority оценили утечку через них в 163,5 Гбайта данных. Это примерно более 280 млн записей пользователей. А такие записи являются просто находкой для хакеров и хранилищ данных в Dark Web.

Киберхалатность

Отчет Appthority 2018 года открыл новые эпизоды «киберхалатности» разработчиков приложений. В новом отчете эксперты Appthority провели анализ уже более 2,7 млн мобильных приложений для Android и iOS. В рамках исследования эксперты обнаружили, что из 27 227 приложений для Android и 1 275 приложений для iOS, использующихся для организации бекэнда системы базы данных Firebase — 3 046 приложений были уязвимы, а 2 271 и вовсе хранили данные в базах данных, доступ к которым мог получить абсолютно любой желающий.

Стоит отметить, что платформа Firebase, принадлежащая Google c 2014 года, работает по модели DBAAS — база данных как услуга. Система предоставляет разработчикам мобильных приложений бекенд для хранения и синхронизации данных между несколькими клиентами. Авторы выяснили, что более уязвимыми оказались приложения для Android, которые используют данную платформу. Их насчитали 2 446 против 600 для iOS. Результаты исследования показали, что 62% всех разработчиков ПО используют, как минимум, одно уязвимое приложение для мобильных устройств.

«Всего в уязвимых приложениях более 100 млн записей в 113 гигабайт данных. Скомпрометировано 2,6 млн идентификаторов пользователей и паролей в текстовом формате, 25 млн хранимых записей местоположения GPS, 50 000 записей о финансовых транзакциях и данные более 4,5 млн аккаунтов в социальных сетях и корпоративных базах данных. Легкой добычей злоумышленников среди прочего могут стать 4 млн записей PHI (Protect Health Information, защищенные данные о здоровье), содержащих личные чаты и записи рецептов», — сообщают эксперты.

Упомянутые в отчете мобильные приложения для Android были загружены пользователями из магазина Google Play более чем 620 млн раз. А это делает разработчиков приложений распространителями уязвимого ПО.

Данные может получить каждый? Как выяснили эксперты, уязвимые серверы Firebase не защищены брандмауэрами или системами аутентификации. Для получения доступа к этим незащищенным базам данных злоумышленнику достаточно использовать команду «/.json» с пустым именем базы данных в конце имени хост.

Кто «сливает» больше всех данных

После публикации своего исследования Аppthority обнародовали рейтинг риска для информационной безопасности популярных у пользователей приложений.

В тройке лидеров популярные мессенджеры WhatsApp, Facebook Messenger, Telegram для Android. WhatsApp Messenger, Facebook Messenger и Waze для iOS эксперты признали самыми опасными мобильными приложениями. Это данные по результатам на конец апреля 2018 года.

Рейтинг Appthority составили на основе Common Vulnerability Scoring System. Это система работает на оценке таких базовых метрик, как уязвимость и потенциальный вред, классифицируя по каждому типу риска.

Вместе с рейтингом Appthority обнародовали черный список мобильных приложений по версии служб безопасности компаний. Популярная и эффективная до недавнего времени концепция BYOD (Bring your own device), согласно которой корпорации поощряли использование сотрудниками личных мобильных устройств для доступа к актуальной корпоративной информации на встречах и презентациях, превратилась в настоящую проблему для специалистов по информационной безопасности.

Дело в том, что пока одни приложения осуществляют вредоносную активность, вторые создают опасные утечки информации, в свою очередь, третьи запрашивают у пользователей слишком много прав. Поэтому проблематично определить, что из всего этого безопасно и не нарушает корпоративную политику безопасности.

Большую часть черного списка составили сервисы для обмена сообщениями, социальные сети и приложения для знакомств.

Для платформы Android это:

• Facebook Messenger,
• Wickr Me,
• WhatsApp Messenger.

Для iOS:

• Facebook Messenger,
• WhatsApp Messenger,
• Tinder.

Однако ряд приложений для iOS были замечены в подозрительных отправках геолокации и имени устройства. А также в использовании запрещенной в AppStore технологии JSPatch для обновления версий ПО.

Незащищенное хранилище

MyPersonality — приложение для викторины, разработанное исследователями Кембриджского университета. В викторине приняли участие 6 млн пользователей Facebook. Большая часть игроков предоставили приложению свои персональные данные. Затем вместе с исходным кодом приложения на GitHub в общем доступе находились и учетные данные для доступа к персональным данным участников конкурса. Это продолжалось в течение 4 лет.

Тогда Facebook объявил настоящую охоту за приложениями, нарушающими политику конфиденциальности. Эта история стала очередной ложкой дегтя для социальной сети. Ранее Facebook уже неоднократно обвиняли в халатном отношении к пользовательским данным.

Однако само наличие уязвимостей в приложениях и незащищенных базах данных вовсе не означает, что ими обязательно воспользуются злоумышленники. Пользователям стоит помнить, что отправляя личную информацию, участвуя в викторинах, а тем более экспериментируя с неизвестными программами, существует большая вероятность подарить свои конфиденциальные данные хакерам.

Фото: Unsplash.