Десятки приложений позволяют похитить личные данные

Новости Спецпроекты

Группа исследователей из Университета Нью-Хейвена, специализирующаяся на изысканиях в сфере киберкриминалистики, обнаружила уязвимости в ряде популярных приложений для Android. Список приложений включает Instagram, Vine, OKCupid и множество других. В совокупности найденные уязвимости позволяют злоумышленникам получить доступ к личным данным примерно 968 млн пользователей, которые используют эти приложения на своих Android-устройствах.

Chat apps leak your information
Как сообщил мой коллега Крис Брук из Threatpost, большинство проблем, описанных исследователями в серии видеороликов на YouTube, связаны с хранением на серверах разработчиков приложений незашифрованных данных.

«Как мы обнаружили, к личным сообщениям могут получить доступ третьи лица. Все потому, что информация передается и хранится на серверах в незашифрованном виде, причем пользователи об этом даже не догадываются».

«Любой, кто использовал или продолжает использовать протестированные нами приложения, подвергается риску утечки разнообразных личных данных, в некоторых случаях включая даже пароли», — говорит Ибрагим Баггили, профессор Университета Нью-Хейвена и глава исследовательской группы.

К примеру, злоумышленники могут сравнительно легко получить фотографии, передаваемые с помощью сервиса личных сообщений Instagram Direct. То же относится и к уже переданным изображениям, которые хранятся на серверах Instagram в незашифрованном виде. Также исследователи смогли перехватить личные сообщения, переданные через HTTP популярным сервисом онлайн-знакомств OKCupid. Примерно такая же уязвимость, как в Instagram Direct, обнаружилась в работе видеочата ooVoo. Стоит заметить, что на страницах Kaspersky Daily мы уже рассказывали о проблеме с отсутствием шифрования в Instagram.

Список обнаруженных исследователями уязвимых сервисов на этом не заканчивается. Похожие проблемы нашлись в массе приложений, предназначенных для текстового, голосового и видеообщения: Tango, Nimbuzz, Kik, MeetMe, MessageMe, TextMe, Grindr, HeyWire, Hike и TextPlus. Уязвимости включают возможность получения доступа к переданным изображениям, геометкам и видеороликам.

Некоторые из упомянутых сервисов хранят на серверах незашифрованные пользовательские пароли. Ряд сервисов позволяет получить доступ не только к тем данным, которые передаются в настоящий момент, но и к переданным ранее: они хранятся на серверах в открытом виде, причем хранятся неделями — существенно дольше, чем можно было подумать.

Еще один интересный момент: некоторые приложения делают то, о чем пользователи их не просят. «Используя HeliumBackup, приложение для извлечения данных из резервных копий Android, мы смогли получить доступ к файлам резервной копии сервиса TextPlus, — говорит один из исследователей. — После того как мы просмотрели файлы, мы обнаружили скриншоты пользовательской активности, которых мы точно не делали. Мы можем только догадываться, с какой целью эти скриншоты были сняты и для чего они хранятся на устройстве».

Неизвестно, принимают ли создатели уязвимых приложений какие-то меры, чтобы ликвидировать описанные проблемы.

Также исследователи проверили, какие данные можно обнаружить в локальных файлах протестированных приложений на мобильных устройствах. Выяснилось, что TextPlus, Nimbuzz и TextMe хранят в открытом виде логины и пароли. Также эти три приложения, как оказалось, хранят в незашифрованном виде историю переписки. Последнее также характерно для MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Voxer и Words With Friends — все эти сервисы хранят переписку на устройстве в открытом виде.

«Несмотря на то что в теории данные от пользователя к пользователю должны передаваться этими приложениями безопасно, мы обнаружили, что личные сообщения могут быть просмотрены другими лицами, причем пользователи об этом не догадываются», — сказал Ибрагим Баггили.

Исследователи попытались связаться с создателями вышеупомянутых приложений, но в ответ получили лишь формальные ответы техподдержки и не смогли получить контакты тех сотрудников компаний, кто занимается непосредственно разработкой. В интервью Ибрагим Баггили сообщил, что ему неизвестно, принимают ли создатели приложений какие-то меры, чтобы ликвидировать уязвимости, обнаруженные его командой.

Мы попытались добиться подтверждения у Instagram, но пока получить комментарии компании нам не удалось. Не ясно, собираются ли вообще разработчики упомянутых в этом тексте приложений устранять описанные уязвимости.

Изданию CNET удалось связаться с Instagram, Kik и Grindr. Из Instagram сообщили, что в данный момент идут работы по переводу сервиса на полное шифрование всех данных в Android-устройствах. Сотрудники Kik говорят, что работают над шифрованием скетчей, передаваемых в личных сообщениях, но не собираются шифровать историю переписки на устройстве, поскольку к ней не могут получить доступ другие приложения. В Kik утверждают, что такой способ хранения данных стандартен для индустрии. Сотрудники Grindr ограничились заявлением, что они следят за подобными сообщениями об уязвимостях и внесут изменения в приложение, если увидят необходимость.

В этой статье мы привели лишь один из серии роликов, снятых исследователями, — остальные видео с демонстрациями работы уязвимостей вы можете найти в статье, опубликованной в англоязычной версии нашего блога.