Luki w zabezpieczeniach się zdarzają. Jest to po prostu część programowania każdej aplikacji. Jednak, gdy wady wynikają ze złych praktyk kodowania, problem może być szczególnie irytujący. Zakodowanie na sztywno kluczy uwierzytelniających w aplikacji lub nieumiejętne skonfigurowanie uwierzytelniania w bazie danych online jest niedopuszczalne z punktu widzenia dewelopera, a jednak jest to dość powszechne zjawisko.
23 niebezpieczne aplikacje w Sklepie Play
W czwartek firma Check Point Research opublikowała raport opisujący 23 aplikacje na Androida ze słabą konfiguracją chmury i implementacją, która potencjalnie pozostawiła miliony danych użytkowników zagrożonych. Informacje, które mogły wyciec, zawierały zapisy e-maili, wiadomości czatu, informacje o lokalizacji, zdjęcia, identyfikatory użytkowników i hasła. Ponad połowa z tych aplikacji ma ponad 10 milionów pobrań, więc liczba użytkowników, których dotyczy problem, jest ogromna. Check Point szacuje, że aplikacje te mogły narazić na atak dane ponad 100 milionów użytkowników.
Zobacz też: Gamingowa ofensywa od HP – nowe OMEN-y i nie tylko
Większość aplikacji posiadała bazy danych czasu rzeczywistego, które deweloperzy pozostawili otwarte. Problem ten jest niestety dość powszechny. Badacze bezpieczeństwa odkryli, że mieli swobodny dostęp do informacji w bazach danych ponad połowy aplikacji, które badali. Dodatkowo prawie połowa aplikacji miała swoje klucze do przechowywania danych w chmurze osadzone w kodzie. Na przykład, CPR pobrało klucze z wnętrza aplikacji faksowej o nazwie iFax, które dałyby im dostęp do każdej transmisji faksowej wysłanej przez ponad pół miliona użytkowników. Badacze nie uzyskali dostępu do tych rekordów ze względów etycznych, ale sprawdzili poprzez analizę kodu, że mogliby to zrobić. Firma nie podała jednak pełnej listy programów, licząc na to, że ich autorzy dokonają stosownych poprawek. Podkreśliła jednak, że Sklep Play może się wręcz roić od tego typu źle napisanego oprogramowania.
Źródło: TechSpot