Во многих приложениях для Android и iOS нашли открытые учётные данные
Специалисты по информационной безопасности из Symantec Юаньцзинь Го и Томми Донг сообщили, что изучили ряд приложений для Android и iOS и нашли, по сути, примитивные и потому наиболее критические огрехи в обеспечении конфиденциальности.
По словам экспертов, налицо «ленивый подход» в разработке. Проблема в том, что в кодовой базе ряда приложений, как в Google Play, так и в App Store, они нашли жёстко заданные учётные данные, включая незашифрованные логины и пароли от различных облачных сервисов.
Подобная брешь значительно повышает риск взлома приложений в силу облегчения работы злоумышленников.
Эксперты перечислили приложения, в которых нашли указанные проблемы:
The Pic Stitch — Android-приложение, которое оценили более пяти млн пользователей, позволяет редактировать коллажи; содержит плохо читаемый код с заключёнными учётными данными от хранилища Amazon S3. Crumbl — iOS-приложение, через которое заказывают сладости; раскрывает данные AWS в виде простого текста, в том числе ключ доступа и секретный ключ. Eureka — софт для опросов, оценённый почти 500 тысячами пользователей; также содержит жёстко заданные в кодовой базе логины и пароли. Videoshop — видеоредактор, в коде которого заключены открытые учётные данные AWS, благодаря этому можно заполучить доступ к бэкенду и выкрасть данные. Sulekha Business — приложение для привлечения потенциальных клиентов; имеет ту же проблему — содержатся логины и пароли от облачного сервиса Azure.
Много других аппов ориентированы на западную аудиторию и Индию.