Специалисты по безопасности из компании Check Point проанализировали 23 приложения из магазина Google Play Store. Выяснилось, что ошибочная конфигурация некоторых из них позволяет получить доступ к персональной информации более 100 млн пользователей.
В частности, проблемы существуют из-за неправильной конфигурации баз данных в реальном времени, push-уведомлений и ключей облачного хранилища, что приводит к утечке адресов e-mail, номеров телефонов, фотографий, сообщений чата, геолокации, паролей.
К примеру, благодаря отсутствию механизмов аутентификации исследователи получили данные пользователей приложения такси из Анголы, включая полные имена водителей, их переписку с пассажирами, номера телефонов, пункты отправления и назначения.
Кроме того, было обнаружено, что некоторые разработчики встроили ключи для отправки push-уведомлений и доступа к облакам прямо в свои приложения. Это может быть использовано злоумышленниками для отправки уведомлений пользователям от имени разработчика, а также для перенаправления их на фишинговые страницы.
Check Point уведомила всех разработчиках о выявленных проблемах, но только некоторые из них исправили недочеты в конфигурации.
Горячие темы