Как вашите приложения могат да разкриват вашите лични данни

Източник: Thinkstock
Мобилните приложения, които използваме за изпращане на снимки и текстови съобщения до вашите приятели, толкова ли са безопасни, колкото всички бихме искали да мислим, че са? Последният - но когато се замислите, доста изненадващо - отговорът? Вероятно не. Според публикувано изследване от Изследователската и образователна група за кибер криминалистика на Университета в Ню Хейвън (cFREG), популярните приложения за Android и iOS, използвани от 968 милиона потребители на смартфони, са податливи на голямо разнообразие от сериозни проблеми със сигурността, нарушения на поверителността и други уязвимости, много от които причинени от липса на основното криптиране и удостоверяване за защита на информацията, когато тя се предава или съхранява.
CFREG казва, че ще разкрие проблемите със сигурността, които е открил в повече от дузина приложения в поредица от видеоклипове за период от пет дни, започвайки с един, публикуван в неделя . (Останалото ще бъде достъпно в блога на групата и YouTube канал .) През цялата седмица групата ще разкрива проблеми със сигурността и ще идентифицира приложенията, които засягат. Проблемите със сигурността „включват пароли, налични в обикновен текст и лична информация, съхранявана на фирмени сървъри“. Ибрахим „Абе“ Баггили, асистент по компютърни науки и ръководител на cFREG, отбелязва:
„Всеки, който е използвал или продължава да използва тестваните приложения, е изложен на поверителни нарушения, включващи различни данни, включително техните пароли в някои случаи. Въпреки че всички данни, предавани чрез тези приложения, трябва да преминават сигурно от само един човек към друг, установихме, че частните комуникации могат да бъдат преглеждани от други, тъй като данните не са криптирани и първоначалният потребител няма представа. '
Потребителските местоположения, паролите, дневниците в чата, изображенията, видеоклиповете, аудиото и скиците могат потенциално да бъдат преглеждани от някой, който използва уязвимостите, открити в повече от дузина приложения, включително социални медии, приложения за чат и запознанства. Екипът на cFREG се опита да уведоми компаниите, които стоят зад всяко от приложенията, но много от тях предоставят само формуляр за уеб връзка за поддръжка, без директен начин да се свържат с разработчиците или екипа по сигурността.
Baggili обяснява, че: „Нямахме друг избор, освен да използваме формулярите за контакт за поддръжка, достъпни на техните уебсайтове, и повечето компании дори не отговориха. Това изостря проблема - и показва, че разработчиците на мобилни устройства все още не се отнасят сериозно към сигурността. ' Първото видео казва, че уязвимостите се споделят публично, за да се информират както потребителят, така и разработчикът за проблемите със сигурността. Миналата пролет cFREG публикува уязвимости в WhatsApp и Viber, привличайки вниманието по целия свят и двете компании отстраниха проблемите със сигурността на своите приложения.
За теста изследователите от Университета в Ню Хейвън създадоха тестова мрежа, използвайки виртуалния адаптер за минипорт на Windows 7 и свързаха към мрежата телефон с Android HTC One (M8). Тестът също така използва iPad 2, свързан извън мрежата, за обмен на данни с телефона и инструменти, включително Wireshark, NetworkMiner и NetWitness Investigator, за наблюдение на целия трафик, изпратен и получен от телефона с Android.
колко пръстена има Джими Джонсън
Тестовете, описани в първото видео, откриха уязвимости в Instagram, OkCupid и ooVoo. Instagram например съхранява снимки, качени от неговата потребителска база от над 200 милиона некриптирани на своите сървъри, без удостоверяване. Той също така предава изображения без криптиране. Във видеото се отбелязва, че разработчиците трябва да се справят с проблемите на сигурността на данните и на поверителността на данните - което означава сигурно предаване на данни и съответно сигурно съхранение на данни. Настоящите версии на много приложения улесняват непознатите да се докоснат до снимките и съобщенията, които потребителите споделят чрез мобилните си приложения, и че информацията може да бъде достъпна, без потребителят дори да знае, че поверителността му е нарушена.
VentureBeat научих, че cFREG е открил уязвимости в близо две дузини приложения , включително Instagram, OkCupid, Words with Friends, Vine и Line, както и други като ooVoo, Tango, Kik, Nimbuzz, MeetMe, MessageMe, TextMe, Grindr, HeyWire, Hike, textPlus, MyChat, WeChat, GroupMe, Whisper и Voxer . Багили разказа VentureBeat че много приложения не успяват да криптират данни като снимки, текстови съобщения и аудио. Дори паролите често се съхраняват като обикновен текст, съобщенията се предават без криптиране, а файловете се съхраняват без защита на фирмените сървъри.
Baggili каза, че разработчиците, които стоят зад много от тези приложения, „не приемат сериозно сигурността“. Той също така отбеляза, че въпреки че няма доказателства, че някоя от уязвимостите е била умишлена, това също не може да бъде изключено. Докладът премества фокуса на разговорите върху мобилната сигурност от облака - там, където е бил насочен от неправилния хак на iCloud - към дизайна на отделни приложения и вниманието, което разработчиците отделят за изграждане на методи за сигурно съхраняване и предаване на информация и внедряване дори най-основните мерки за сигурност, за да се гарантира, че личните данни на потребителите остават частни. Поредицата от видеоклипове, публикувани от cFREG тази седмица, се очаква да илюстрира, че проблемът със сигурността на мобилните приложения е много по-голям, отколкото биха искали да мислят повечето хора.
С близо милиард потребители сред тях, засегнатите приложения могат да разкрият информация за милиони потребители. Надяваме се, че идентифицирането на незащитените приложения и публичното проучване на уязвимостите ще стартира процеса на разработчиците, които правят приложенията им по-сигурни, и ще направи потребителите по-наясно с рисковете от споделянето на личната им информация чрез приложения, които не изглеждат очевидно опасни. Ако разработчиците наистина не се отнасят сериозно към сигурността и поверителността на данните на потребителите, ще бъде в техен интерес да поправят дефектния дизайн на своите приложения, преди да бъдат използвани уязвимостите.
На уебсайта на Университета в Ню Хейвън, Baggili се застъпва за това потребителите, които използват приложения с проблеми със сигурността, да проверяват ежедневно за актуализации и също така да се научат да провеждат тестове за сигурност сами. „Наистина няма начин да разберете какво правят тези приложения, освен ако не го тествате сами“, казва той.
Още от Tech Cheat Sheet:
- 4-те най-големи издания на видеоигри тази седмица
- Ето как Apple ще защити кредитните карти във вашия цифров портфейл
- 3 изтичания в последната минута на Apple: Работещи iPhone 6, iWatch и др