Среди них почти 350 – высокого уровня критичности. К такому выводу пришли специалисты AppSec Solutions, которые провели исследование мобильных приложений в категории «общение и нетворкинг» с помощью сервиса AppSec.Sting. Чтобы новые знакомства и общение с близкими не стали причиной утечки данных, эксперты AppSec Solutions рекомендуют с осторожностью относиться к незнакомым приложениям и не пренебрегать кибер-гигиеной.
Самые опасные из таких уязвимостей – хранение чувствительной информации в открытом виде. В частности, 22 приложения содержали пароли и токены в исходном коде приложения, что существенно облегчает хакерам взлом системы. Такие приложения, рассказывают ИБ-инженеры, могут содержать доступные на запись базы данных в сторонних сервисах, до которых вполне могут добраться злоумышленники.
В общей сложности, в ходе исследования протестировали 100 наиболее популярных приложений в категории «общение и нетворкинг». Это различного рода мессенджеры, а также многочисленные приложения для знакомств.
В приложениях для общения и знакомств чаще всего встречаются уязвимости, связанные с хранением и обработкой чувствительных данных пользователей. Одна из самых распространённых проблем — сохранение паролей, токенов и ключей доступа в открытом виде, в том числе непосредственно в исходном коде, в приватной директории или во внешних конфигурационных сервисах. Это существенно упрощает злоумышленникам задачу по взлому аккаунтов и получению доступа к персональным данным.
Вторая популярная категория уязвимостей связана с ошибками в механизмах аутентификации и управления сессиями. Речь идёт о недостаточной проверке прав доступа, возможности подмены идентификаторов пользователей и отсутствии корректного отзыва сессий, что в ряде случаев позволяет получить доступ к чужим перепискам.
Третья распространённая проблема — неправильная работа с внешними сервисами и SDK, к примеру, Firebase Remote Config.
Несмотря на прямые рекомендации не хранить там чувствительную информацию, разработчики нередко размещают в таких сервисах ключи доступа, токены и секреты, что может привести к компрометации как самого приложения, так и серверной инфраструктуры.
Как могут защитить себя пользователи
1. Устанавливайте приложения только из официальных магазинов
Скачивайте приложения исключительно из официальных магазинов, обращайте внимание на количество установок, отзывы и дату последнего обновления.
2. Проверяйте разрешения приложения
Если мессенджер или приложение для знакомств запрашивает доступ к камере, микрофону или контактам без очевидной необходимости, это повод насторожиться.
3. Проверка источника
Не кликайте на ссылки из непроверенных писем и сообщений. Если вам пришло предложение о скидке, зайдите на сайт напрямую. Это помогает также не купить подделку, сверив ассортимент реального магазина с «горящим» предложением.
4. Двухфакторная аутентификация (2FA)
Подключите 2FA для всех важных аккаунтов. Даже если пароль будет скомпрометирован, второй фактор защиты существенно снижает риск захвата аккаунта.
5. Регулярно обновляйте приложения и операционную систему
Обновления часто содержат исправления критических уязвимостей, и их установка — один из самых простых способов повысить безопасность.