Во многих приложениях для Android и iOS нашли открытые учётные данные

Специалисты по информационной безопасности из Symantec Юаньцзинь Го и Томми Донг сообщили, что изучили ряд приложений для Android и iOS и нашли, по сути, примитивные и потому наиболее критические огрехи в обеспечении конфиденциальности.

По словам экспертов, налицо «ленивый подход» в разработке. Проблема в том, что в кодовой базе ряда приложений, как в Google Play, так и в App Store, они нашли жёстко заданные учётные данные, включая незашифрованные логины и пароли от различных облачных сервисов.

Подобная брешь значительно повышает риск взлома приложений в силу облегчения работы злоумышленников.

Эксперты перечислили приложения, в которых нашли указанные проблемы:

The Pic Stitch — Android-приложение, которое оценили более пяти млн пользователей, позволяет редактировать коллажи; содержит плохо читаемый код с заключёнными учётными данными от хранилища Amazon S3.

Crumbl — iOS-приложение, через которое заказывают сладости; раскрывает данные AWS в виде простого текста, в том числе ключ доступа и секретный ключ.

Eureka — софт для опросов, оценённый почти 500 тысячами пользователей; также содержит жёстко заданные в кодовой базе логины и пароли.

Videoshop — видеоредактор, в коде которого заключены открытые учётные данные AWS, благодаря этому можно заполучить доступ к бэкенду и выкрасть данные.

Sulekha Business — приложение для привлечения потенциальных клиентов; имеет ту же проблему — содержатся логины и пароли от облачного сервиса Azure.

Много других аппов ориентированы на западную аудиторию и Индию.

Источник: www.ferra.ru

0 0 голоса
Рейтинг новости
4489
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии