Social
Datele din iPhone, expuse din cauza aplicațiilor vulnerabile. Ce trebuie să știe utilizatorii
iPhone 8 Plus / sursa foto: dreamstime.com
Din cuprinsul articolului
Mii de aplicații disponibile în Apple App Store ar putea pune în pericol datele utilizatorilor, avertizează specialiștii în securitate cibernetică. Cercetările recente arată că numeroase aplicații colectează informații sensibile, de la locația utilizatorilor până la date personale, fără a oferi detalii privind modul de utilizare a acestora, informează Fox News.
App Store sub lupa experților: date personale expuse de mii de aplicații
Un studiu realizat de experți în securitate cibernetică arată că mii de aplicații iOS aprobate oficial de Apple ascund vulnerabilități serioase. Aceste slăbiciuni pot permite accesul neautorizat la datele personale ale utilizatorilor, la serviciile de stocare în cloud și chiar la infrastructura de plăți. Problema nu ține de malware clasic, ci de erori și practici nesigure integrate direct în codul aplicațiilor.
Cercetătorii de la Cybernews au analizat peste 156.000 de aplicații pentru iPhone, aproximativ 8% din totalul disponibil la nivel global. Rezultatele sunt îngrijorătoare: în codul acestor aplicații au fost identificate sute de mii de informații sensibile pentru fiecare aplicație analizată.
Odată publicate, aceste date pot fi extrase relativ ușor de persoane rău intenționate. Potrivit cercetătorului Aras Nazarovas de la Cybernews, astfel de practici reduc semnificativ efortul necesar atacatorilor și cresc riscurile pentru utilizatori, care rareori sunt conștienți de aceste vulnerabilități ascunse.
Ce au descoperit cercetătorii în aplicațiile iOS
Cercetătorii în domeniul securității cibernetice de la Cybernews, o firmă de cercetare în domeniul securității cibernetice, au analizat codul a peste 156.000 de aplicații pentru iPhone. Aceasta reprezintă aproximativ 8% din totalul aplicațiilor disponibile la nivel mondial.
Ce au descoperit experții de la Cybernews:
- Peste 815.000 de secrete ascunse în codul aplicației
- O medie de cinci secrete per aplicație
- 71% dintre aplicații au dezvăluit cel puțin un secret
Aceste informații sensibile includ parole, chei API și token-uri de autentificare. Ele sunt integrate direct în codul aplicațiilor, ceea ce permite extragerea lor de către persoane neautorizate. Aras Nazarovas avertizează că astfel de practici simplifică semnificativ activitatea atacatorilor, mult peste ceea ce își imaginează majoritatea utilizatorilor.
Secrete „hardcoded” în codul aplicațiilor
Un secret „hardcoded” reprezintă informații sensibile stocate direct în aplicație, cum ar fi parole, chei API sau token-uri de acces. Aceasta înseamnă că, odată ce aplicația este descărcată, oricine poate extrage aceste date fără instrumente speciale. Aras Nazarovas, cercetător la Cybernews, atrage atenția că această practică simplifică extrem de mult munca atacatorilor, mult peste cât realizează majoritatea utilizatorilor.
IPhone, actualizare / sursa foto: dreamstime.com
Stocarea în cloud: date expuse la scară mare: Problemele de securitate se extind și la stocarea în cloud. Peste 78.000 de aplicații iOS conțineau linkuri directe către bucket-uri de stocare, ce conțineau fotografii, documente, chitanțe și copii de rezervă. Cercetătorii au descoperit:
- 836 de bucket-uri complet deschise publicului,
- Peste 76 de miliarde de fișiere expuse,
- Peste 406 terabytes de date scurse.
Datele vizate includ informații despre utilizatori, jurnale și fișiere private, accesibile oricui știe unde să caute.
Bazele de date Firebase vulnerabile
Multe aplicații folosesc Google Firebase pentru stocarea datelor. Cybernews a identificat peste 51.000 de linkuri către baze Firebase în codul aplicațiilor, dintre care 2.200 nu aveau nicio autentificare. Acest lucru a expus aproape 20 de milioane de înregistrări ale utilizatorilor, inclusiv mesaje, profiluri și jurnale de activitate.
Sistemele de plată și autentificare în pericol: Unele secrete expuse includ chei pentru Stripe, sisteme JWT de autentificare și instrumente de gestionare a comenzilor. Un atacator care obține o cheie Stripe poate emite rambursări, transfera bani sau accesa detalii de facturare. Cheile de autentificare permit preluarea controlului asupra conturilor utilizatorilor.
Aplicațiile de inteligență artificială și sociale, cele mai afectate: Aplicațiile AI au fost printre cele mai vulnerabile. Cercetările CovertLabs au identificat aplicații care au scurs istoricul conversațiilor, numere de telefon și adrese de e-mail ale milioane de utilizatori. Lista completă a aplicațiilor afectate nu a fost făcută publică, pentru a proteja datele și a permite dezvoltatorilor remedierea problemelor.
Cum să te protejezi
Procesul de verificare al App Store nu scanează codul aplicațiilor pentru secrete ascunse. Dacă o aplicație se comportă normal în timpul testelor, poate fi aprobată chiar dacă ascunde date sensibile. Eliminarea acestor secrete implică revocarea cheilor, generarea altora noi și reconstrucția aplicațiilor, ceea ce poate întârzia actualizările și funcționalitatea.
- Alege dezvoltatori de încredere: aplicațiile cunoscute au echipe mai bune de securitate,
- Revizuiește permisiunile aplicațiilor: limitează accesul la locație, contacte, fotografii și microfon,
- Șterge aplicațiile neutilizate: acestea păstrează acces la datele partajate anterior,
- Protejează datele personale și financiare: nu le introduce decât dacă este necesar,
- Folosește un manager de parole: creează parole unice și verifică dacă e-mailul tău a fost compromis,
- Schimbă parolele aplicațiilor expuse, chiar dacă nu există confirmare oficială a unei breșe,
- Servicii de eliminare a datelor pentru a reduce expunerea la brokeri de date și dark web,
- Monitorizează conturile pentru activități suspecte: e-mailuri neașteptate, resetări de parolă sau alerte de plată,
- Evita aplicațiile AI riscante până la confirmarea remedierilor de securitate, nu partaja date sensibile.
