Исследователи обнаружили 56 млн потенциальных уязвимостей более чем в тысяче приложений

Исследователям из Германии удалось обнаружить около 56 млн единиц незащищенной информации, сообщает Reuters. Они включают в себя как такие безобидные данные, как сведения из игр, так и информацию из социальных сетей, переписок, медицинские данные и сведения о банковских транзакциях.

Один из исследователей Зигфрид Растофер заявил, что практически в каждой категории приложений есть программа, которая несет в себе уязвимость. По оценкам экспертов, всего подобных незащищенных записей может быть несколько миллиардов.

Проблема, по словам аналитиков, заключается в методе, который используют разработчики приложений для хранения данных. В данный момент часто используются сервисы облачного хранения данных наподобие Amazon Web Services и Facebook Parse. И хотя эти сервисы предлагают специальные методы защиты хранящейся на них информации, большинство используют стандартный метод связки профиля и привязанной к нему информации, состоящий из определенной последовательности букв и цифр (токенов).

Этот токен хранится в приложении, и хакеры, по словам главы группы инженеров Эрика Боддена, могут без особых проблем получить его, что позволяет получить доступ к защищенным данным, хранящимся на сервере.

По словам исследователей, пока нет задокументированных случаев использования данной уязвимости. Но в Facebook уже работают над решением этой проблемы и повышением безопасности хранящихся у них данных. В Apple также повысят требования к приложениям, публикуемым в магазине AppStore, в соответствии с данным исследованием.

Как заявил «Газете.Ru» руководитель группы исследования мобильных угроз «Лаборатории Касперского» Виктор Чебышев, данная угроза может быть очень серьезной. Эксперт связывает это с доминированием низкой культуры написания кода, при которой не все разработчики обеспокоены безопасностью пользователя. «Отсюда и проблемы с тем, что разработчики используют сторонние API по умолчанию без шифрования. В данном случае из-за лени для одного приложения используется по сути общий ключ доступа к информации», — указал Чебышев.

Таким образом, по его словам, установив себе приложение, киберпреступник может получить доступ к данным многих пользователей, и для этого ему достаточно иметь навыки реверс-инжиниринга.

Чтобы бороться с этим, необходимо повышать качество кода и всегда использовать шифрование, особенно когда речь идет о передаче данных пользователей. «С точки зрения пользователя универсальной защиты от этого не существует, единственное, что мы можем посоветовать, — не использовать систему логина через Facebook/Twitter/другие социальные сети на всех подряд сервисах и в других приложениях», — добавил Чебышев.

Как рассказал «Газете.Ru» заместитель генерального директора компании Zecurion Александр Ковалев, если система безопасности приложения организована правильно, то одного токена будет недостаточно. Есть разнообразные уровни защиты, которые не позволяют подключаться к серверу по одному лишь «выдернутому» ключу. «На самом сервере также может быть многоуровневая система защиты, и данный токен может быть базовым и лишь запускать механизм разблокировки данных для конкретного приложения, который включает в себя несколько других ключей шифрования», — указал Ковалев.

Как он отметил, хорошие разработчики делают нехитрую, но действенную систему защиты данных, при которой сервис состоит из трех частей: это само приложение на смартфоне, серверная часть, которая отвечает за обработку данных, и сама база данных, на которой информация хранится. Все это должно быть максимально обособлено друг от друга и должно взаимодействовать между собой только с помощью шифровальных методов.

Кроме того, приложения могут сами зашифровывать и расшифровывать хранящиеся на сервере данные, и даже если их удастся получить, прочитать хранящуюся в них информацию без другого ключа, ключа расшифровки, будет невозможно, добавил эксперт.

«Если же говорить о банковских приложениях, то там, как правило, авторизуется уже не приложение, но само устройство», — отметил Ковалев. По его словам, даже если есть все ключи шифрования, без сведений о самом аппарате подключиться к банку будет невозможно. Сведения же хранятся в системе устройства, и таким образом без физического доступа к смартфону получить данные с сервера банка нельзя.

Однако это все же в идеальных условиях.

По факту же, как показало исследование немецких ученых, получение доступа к данным приложения, к сожалению, проще, и потому пока проблема носит массовый характер.