Специалисты из организации Check Point установили, что 23 различных приложений для Android выдают пользовательскую персональную информацию из-за того, что в них выставляются ошибочные настройки. В частности, многие сплошь и рядом не заботятся о том, чтобы защитить паролем собственные серверные базы данных. Кроме того, пользователи нередко сохраняют токены или ключи доступа к месту хранения персональной информации, ключи доступа к облачным хранилищам либо push-уведомления в исходном коде соответствующих приложений.
В итоге, исследовав 23 совершенно случайно выбранных приложения, специалисты сумели заполучить доступ к внутренним хранилищам информации в 13 из этих приложений. В базах данных были найдены адреса электронной почты, пароли, личная переписка, скриншоты, данные геолокации, ID-информация, учетные данные от соцсетей и фотографии приватного характера.
Несмотря на то, что ряд приложений не предоставлял прямой доступ к персональным данным юзеров, специалисты из Check Point полагают, что эти приложения позволяли злоумышленникам завладеть ключами доступа, что давало возможность рассылать push-уведомления широкому кругу получателей, например, устраивая массированные фишинг-нападения.
«Вообразите только, что приложение, работающее с новостями, разослало использующим его сообщение о поддельной новости, которое приводило всех пользователей на фишинговую страницу. Так как информация поступила через официальное приложение, многие не сомневаются в его легитимности и в том, что оно исходит из реального СМИ, а не от киберпреступников», - утверждают эксперты.
Представители Check Point назвали всего лишь пять исследованных ими приложений из 23:
- Logo Maker
- Astro Guru
- T'Leva
- Screen Recorder
- iFax
