Доверяете своему iPhone?: как iOS-разработчики подвергают вас опасности
Каждое пятое приложение хранит данные ваших карт без должной защиты.
Недавнее исследование, проведённое изданием Cybernews, выявило , что большинство приложений в App Store содержат в своём коде «зашитые» секретные данные, такие как ключи доступа к облачным хранилищам, API и даже платёжным системам. Это ставит под угрозу безопасность пользователей, так как злоумышленники могут получить доступ к конфиденциальной информации.
Анализ более 156 000 приложений для iOS показал, что в среднем каждое приложение содержит 5,2 уязвимых секретных ключа. 71% приложений имеют как минимум одну утечку данных. Хотя большинство из этих ключей имеют низкий уровень чувствительности, тысячи из них могут привести к серьёзным утечкам данных или взломам.
Арнас Назаровас, исследователь безопасности в Cybernews, отметил, что многие разработчики iOS-приложений оставляют критически важные данные в открытом доступе. Это позволяет злоумышленникам легко получать доступ к личным данным пользователей, включая информацию о платежах и облачных хранилищах.
Основные находки исследования:
— Обнаружено 83 000 уязвимых конечных точек облачных хранилищ, из которых 836 не требуют аутентификации. Это привело к утечке 406 ТБ данных.
— Более 51 000 конечных точек Firebase, тысячи из которых открыты для посторонних.
— Тысячи ключей для API, включая Fabric, Live Branch и MobApp Creator, которые могут быть использованы для доступа к личным данным пользователей.
— Сотни наиболее конфиденциальных ключей могут быть использованы для осуществления платежей и возмещения средств, а также для получения личных данных и сообщений.
«Зашитые» или «жёстко закодированные» секреты — это практика внедрения конфиденциальной информации, такой как API-ключи или пароли, непосредственно в исходный код приложения. CISA и FBI уже предупреждали о рисках такого подхода. Утечки таких данных могут привести к компрометации аккаунтов и несанкционированному доступу к системам.
Исследователи рекомендуют разработчикам избегать хранения секретных данных в клиентских приложениях. Вместо этого следует использовать защищённые серверы или специальные SDK, которые обеспечивают безопасное хранение ключей. Однако внедрение таких изменений может потребовать значительных усилий и времени.
Apple, являясь лидером на рынке смартфонов в США, не проверяет приложения на наличие «зашитых» секретов в процессе ревью. Компания заявляет, что 90% обновлений приложений проходят проверку за 24 часа, но в некоторых случаях процесс может затянуться на несколько недель. На момент публикации исследования Apple не предоставила комментариев по его результатам.
Пользователям рекомендуется устанавливать приложения только от проверенных разработчиков, ограничивать разрешения для приложений и удалять неиспользуемые программы. Это поможет снизить риски утечки данных.