5 минут на взлом: What to Expect раскрывает репродуктивные данные миллионов женщин

В популярном приложении для отслеживания беременности What to Expect, доступном на iOS и Android, обнаружены серьёзные уязвимости, которые могут привести к полному захвату пользовательских аккаунтов и утечке конфиденциальной информации о репродуктивном здоровье. Эти риски становятся особенно актуальными на фоне угроз, связанных с харассментом в адрес защитников репродуктивных прав.

Исследователь безопасности Ови Либер, представивший свои выводы 404 Media до их публикации, указал , что «утечка данных о репродуктивном здоровье может иметь серьёзные последствия, делая пользователей уязвимыми для харассмента, доксинга, уголовного преследования или даже целенаправленных атак злоумышленников».

Обширная аудитория и функционал приложения

По данным Google Play, приложение имеет более пяти миллионов загрузок на Android. На iOS оно собрало более 340 тысяч отзывов. Разработчики описывают What to Expect как «наиболее известный и заслуживающий доверия бренд в области беременности и воспитания детей, предоставляющий универсальное приложение с тысячами медицински точных статей». Помимо информационного контента, приложение позволяет пользователям следить за развитием ребёнка, фиксируя, например, время кормления, сна и другие параметры.

Уязвимости API и риски

Специалист по безопасности Ови Либер обнаружил несколько серьезных уязвимостей в системе безопасности приложения. Главная проблема связана с незащищенной конечной точкой API, которая отвечает за сброс паролей. Отсутствие аутентификации и ограничений на количество запросов позволяет злоумышленникам взламывать учетные записи пользователей за «крайне короткий срок».

По словам исследователя, код сброса пароля действует в течение часа, что дает атакующим достаточно времени для его подбора. При использовании современного процессора взлом возможен в течение часа, а применение графического процессора NVIDIA V100 сокращает время атаки до 5 минут.

Дополнительную угрозу представляет открытый доступ к электронным адресам администраторов групп в форуме сообщества приложения. Данная уязвимость увеличивает риск целенаправленных атак и преследований пользователей.

Отсутствие реакции разработчиков

Либер неоднократно пытался связаться с разработчиками приложения. Первая попытка уведомить компанию о найденных уязвимостях была предпринята 24 октября, затем исследователь обратился в PR-отдел, но ответа не последовало. Представители What to Expect также проигнорировали запрос журналистов 404 Media о комментариях по данной ситуации.

В своём исследовании он подчеркнул важность принципов ответственного раскрытия уязвимостей. Обычно такие вопросы решаются конфиденциально, чтобы разработчики могли устранить проблему до её обнародования. Однако, по его словам, игнорирование подобных сообщений со стороны компании может ускорить публикацию данных в интересах безопасности пользователей.