Результаты анализа 30 популярных приложений мобильного здравоохранения показали, что они дают доступ к истории болезней миллионов людей.
Исследование, проведенное партнером маркетингового агентства Knight Ink Алиссой Найт (Alissa Knight) от имени компании Approov по защите мобильных API-интерфейсов, показало, что приложения мобильного здравоохранения уязвимы к API-атакам. В рамках подобных атак неавторизованный злоумышленник может получить доступ к защищенной медицинской информации и персональным данным жертвы.
В ходе исследования был проведен анализ 30 популярных приложений мобильного здравоохранения со средним числом загрузок около 772 тыс. Ни в одном из проанализированных приложений не было реализовано закрепление сертификатов, подвергая пользователей угрозам MitM-атак, а 77% из них содержали встроенные API-ключи, токены и учетные данные. Половина API не аутентифицировала запросы с помощью токенов, а четверть приложений (27%) не были защищены от обратной разработки.
Половина записей, предоставляемых приложениями мобильного здравоохранения, содержала имена, адреса, даты рождения, номера социального страхования, данные об аллергиях, лекарствах и другую конфиденциальную информацию пользователей.
По словам эксперта, все протестированные конечные точки API были уязвимы к BOLA-атакам (broken object level authorization), обеспечивающим доступ к конфиденциальным медицинским данным даже пациентов, не привязанных к учетной записи врача. Половина протестированных API обеспечивала доступ к информации о патологиях, рентгеновским снимкам и клиническим результатам других пациентов.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках