Эксперты по кибербезопасности обнаружили почти 2 тыс. уязвимостей в приложениях для общения
Эксперты по кибербезопасности обнаружили почти 2 тыс. уязвимостей в приложениях для общения. Среди них почти 350 – высокого уровня критичности. К такому выводу пришли специалисты AppSec Solutions, которые провели исследование мобильных приложений в категории «общение и нетворкинг» с помощью сервиса AppSec.Sting. Чтобы новые знакомства и общение с близкими не стали причиной утечки данных, эксперты AppSec Solutions рекомендуют с осторожностью относиться к незнакомым приложениям и не пренебрегать кибер-гигиеной.
Самые опасные из таких уязвимостей – хранение чувствительной информации в открытом виде, в частности, 22 приложения содержали пароли и токены в исходном коде приложения, что существенно облегчает хакерам взлом системы. Такие приложения, рассказывают ИБ-инженеры, могут содержать доступные на запись базы данных в сторонних сервисах, до которых вполне могут добраться злоумышленники.
«В приложениях для общения и знакомств чаще всего встречаются уязвимости, связанные с хранением и обработкой чувствительных данных пользователей. Одна из самых распространённых проблем — сохранение паролей, токенов и ключей доступа в открытом виде, в том числе непосредственно в исходном коде, в приватной директории или во внешних конфигурационных сервисах. Это существенно упрощает злоумышленникам задачу по взлому аккаунтов и получению доступа к персональным данным. Вторая популярная категория уязвимостей связана с ошибками в механизмах аутентификации и управления сессиями. Речь идёт о недостаточной проверке прав доступа, возможности подмены идентификаторов пользователей и отсутствии корректного отзыва сессий, что в ряде случаев позволяет получить доступ к чужим перепискам. Третья распространённая проблема — неправильная работа с внешними сервисами и SDK, к примеру, Firebase Remote Config. Несмотря на прямые рекомендации не хранить там чувствительную информацию, разработчики нередко размещают в таких сервисах ключи доступа, токены и секреты, что может привести к компрометации как самого приложения, так и серверной инфраструктуры», — сказал руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никита Пинаев.
В общей сложности, в ходе исследования протестировали 100 наиболее популярных приложений в категории «общение и нетворкинг». Это различного рода мессенджеры, а также многочисленные приложения для знакомств.
Как могут защитить себя пользователи: устанавливайте приложения только из официальных магазинов. Скачивайте приложения исключительно из официальных магазинов, обращайте внимание на количество установок, отзывы и дату последнего обновления. Проверяйте разрешения приложения. Если мессенджер или приложение для знакомств запрашивает доступ к камере, микрофону или контактам без очевидной необходимости, это повод насторожиться. Проверка источника. Не кликайте на ссылки из непроверенных писем и сообщений. Если вам пришло предложение о скидке, зайдите на сайт напрямую. Это помогает также не купить подделку, сверив ассортимент реального магазина с «горящим» предложением. Двухфакторная аутентификация (2FA) Подключите 2FA для всех важных аккаунтов. Даже если пароль будет скомпрометирован, второй фактор защиты существенно снижает риск захвата аккаунта. Регулярно обновляйте приложения и операционную систему. Обновления часто содержат исправления критических уязвимостей, и их установка — один из самых простых способов повысить безопасность.
