Исследование cybersecurity-компании Cybernews выявило, что тысячи приложений для iPhone, одобренных Apple, содержат скрытые уязвимости, которые могут привести к утечке пользовательских данных. В рамках анализа было проверено более 156 000 приложений, что составляет около 8% всех доступных по всему миру. Несмотря на репутацию Apple как платформы с жестким контролем качества, большинство выявленных проблем связаны с неправильными практиками безопасности внутри кода приложений.
Обнаруженные уязвимости и их последствия
Исследователи обнаружили, что многие приложения содержат внутри себя секретные ключи, пароли, API-ключи и токены доступа, размещенные прямо в коде. Это облегчает злоумышленникам задачу по их извлечению, поскольку для этого не требуется специальное hacking-оборудование или сложные методы. Согласно экспертам Cybernews, такая практика сравнима с написанием PIN-кода на обратной стороне карты — любой, кто скачает приложение и изучит его файлы, сможет получить доступ к важной информации.
Особую опасность представляют ссылки на облачные хранилища, в которых хранятся личные файлы пользователей, документы, фотографии и бэкапы. Более 78 000 приложений содержали прямые ссылки на такие хранилища, зачастую без паролей или с минимальной защитой. Это позволяло любому желающему просматривать или скачивать конфиденциальные данные.
Также в анализе выявлены более 51 000 ссылок на базы данных Google Firebase, из которых более 2 200 были без аутентификации. В результате злоумышленники могли получить доступ к личной информации пользователей, включая сообщения, номера телефонов и email-адреса, а также управлять платежными системами, используя украденные ключи Stripe или login-данные.
Реакция и меры безопасности
Apple предостерегает разработчиков не размещать секретные ключи внутри приложений и рекомендует использовать безопасные серверы для хранения чувствительной информации. Однако, несмотря на это, практика распространена, и многие приложения проходят проверку App Store без выявления таких уязвимостей, так как процесс рецензирования не включает сканирование кода на наличие секретов.
CyberGuy обратился к Apple за комментариями, однако к моменту публикации ответа не получил. Эксперты советуют пользователям быть внимательными при установке приложений, проверять их частоту обновлений и избегать предоставления лишних разрешений, таких как доступ к геолокации, фото или микрофону.
Рекомендации для пользователей и разработчиков
- Перед установкой приложения проверяйте его активность и частоту обновлений.
- Удаляйте неиспользуемые приложения, чтобы снизить риск утечки данных.
- Ограничивайте разрешения на доступ к личной информации в настройках iPhone.
- Используйте менеджеры паролей для создания уникальных и сложных паролей.
- Проверяйте, не были ли ваши email или пароли скомпрометированы в утечках, с помощью специальных сервисов.
- Рассмотрите возможность использования сервисов по удалению личных данных из интернета, чтобы снизить риск мошенничества.
Эксперты подчеркивают, что, несмотря на сильные меры защиты Apple, безопасность приложений зависит от практик разработчиков. В случае обнаружения уязвимостей пользователи должны своевременно реагировать и избегать использования приложений с сомнительной репутацией, особенно для хранения или обмена конфиденциальной информацией.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты