Сигурността на iOS е мит: 75% от приложенията издават потребителски тайни на хакерите
Какво се случва с данните ви в приложенията за iOS?
Емил Василев преди 6 секунди 0 СподелиНай-четени
АвтомобилиСветлин Желев - 13:50 | 23.03.2025Джеръми Кларксън: „ Предупредих ви за Тесла още преди 17 години “
ТелефониДаниел Десподов - 13:05 | 24.03.2025Смелият ход на Xiaomi: „ Истински наличният телефон “ се появява идващия месец!
IT НовиниЕмил Василев - 10:08 | 24.03.2025На милисекунди от злополуката: 60 центъра за данни с 1,5 GW мощ излязоха от строя едновременно
Емил Василевhttps://www.kaldata.com/Изтеглянето на приложение от App Store наподобява като елементарен и безвреден развой, само че изследване на Cybernews демонстрира, че даже и в екосистемата на Apple, която се слави със своята висока сигурност потребителите не са застраховани: съвсем 75% от приложенията за iOS позволяват приключване на сензитивна информация.
Експертите са анализирали 156 000 приложения – към 8% от целия подбор на Apple App Store. Оказало се, че 71% от тях разкриват най-малко една сензитивна загадка, като във всяко приложение са открити приблизително над 5 такива приключвания.
Проблемът се крие в навика на разработчицитe непосредствено да вграждат в кода данни като API ключове, пароли, идентификатори на бази данни и токени за достъп.
Съхраняването на секрети в кода може да се съпостави с съществуването на ключ за къщата под изтривалката на вратата – просто би трябвало да знаете къде да търсите. И макар че тази процедура от дълго време е подложена на критика, разработчиците не престават да подценяват опасността. Последствията могат да бъдат съществени: даже едно приключване на ключ може да даде на хакерите достъп до потребителски данни и облачни складове.
Някои от най-често срещаните секрети включват адреси на бази данни, връзки към облачни складове, идентификатори за услугите на Гугъл, Фейсбук и Firebase. Например, Storage Bucket, открита допълнително от 78 000 приложения дава опция за четене или заличаване на файлове в облака при неправилна настройка, а повече от 42 000 приложения разкриват URL адреси на бази данни, което също разрешава на нападателите да получат достъп до дневници за активността, пароли и други потребителски данни.
Опасността се усилва, в случай че в приложението по едно и също време изтекат спомагателни детайли като Гугъл Project ID, Client ID, App ID, OAuth токени. Комбинирани, те разрешават на офанзивата да фалшифицира приложението, да претрупа API, да открадне сметки или да модифицира данни. Дори Фейсбук App ID и Client Token могат да се употребяват за основаване на фишинг приложения и изпращане на подправени поръчки към Graph API от името на законен програмен продукт.
Тенденцията не се лимитира единствено до една платформа. По данни на GitGuardian през 2023 година потребителите на GitHub са разкрили по нехайство към 12,8 милиона идентификационни данни и други чувствителни секрети допълнително от 3 милиона обществени складове.
Проблемът е толкоз огромен, че към този момент се назовава съществена опасност за мобилните приложения. Доставчиците и хакерите са добре осведомени с мащаба и лекотата на потребление на сходни уязвимости, което прави обстановката изключително тревожна.
Показателен е и казусът с офанзивите против държавни организации. В края на 2024 година китайски хакери, подкрепяни от държавното управление проникнаха в Министерството на финансите на Съединени американски щати, употребявайки злепоставен ключ за API на BeyondTrust. Инцидентът за следващ път удостовери, че даже един инцидентно подложен ред код може да докара до злополука.
Подобни приключвания са изключително рискови, защото откриването им лишава повече време, в сравнение с всеки различен тип офанзива. Според отчет на IBM за откриването на случай, включващ откраднати идентификационни данни са нужни приблизително 292 дни. През това време нападателите могат да работят гладко в мрежата.
С повишаването на броя на приложенията и размера на данните цената даже на един пробив се усилва фрапантно. Ето за какво въпросът за сигурността на мобилните решения се нуждае от внимание в този момент повече от всеки път – от архитектурата на приложенията до културата на програмиране.
През 2024 година друго изследване на Cybernews разкри рисковете за потребителите на Android, свързани с несъразмерните позволения в известни приложения. Според специалистите доста от приложенията изискват доста повече достъп, в сравнение с е належащо за действието им, което усилва вероятността от приключване на персонални данни.
