Эксперты ИБ из «Лаборатории Касперского» выяснили, что через миллионы приложений в сеть попадают такие персональные данные, как имя, возраст, доход и, возможно, номера телефонов и электронные адреса. Всему виной разработчики, которые не защищают данные для таргетинга рекламы, получаемые сторонними рекламодателями.

«Сначала казалось, что мы имеем дело лишь с рядом случаев небрежного проектирования приложений, но реальные масштабы проблемы ужасают, — рассказывает Роман Унучек, специалист по безопасности в «Лаборатории Касперского», который представил результаты своего исследования на конференции RSA во вторник. — В миллионы приложений интегрированы сторонние SDK, подвергающие риску персональные данные, которые можно без труда перехватить и изменить. Это может повлечь за собой заражение зловредами, шантаж и другие опасные атаки на ваши устройства».

По словам исследователей, данные, которые отправляются по протоколу HTTP в незашифрованном виде, могут похитить киберпреступники, подключившиеся к той же сети WiFi, поставщики услуг Интернета или зловреды, установленные на маршрутизаторе жертвы.

По словам Унучека, незащищенные данные могут быть не только похищены, но и использованы для дальнейшего распространения зловреда.

Специалисты «Лаборатории Касперского» считают, что эта проблема возникла, когда разработчики приложений для экономии времени повторно использовали предопределенные SDK, позаимствованные у популярных рекламных сетей.

Анализ показал, что многие из них имеют серьезные изъяны — в частности, отправляют незащищенные данные о пользователях между приложением и серверами рекламодателей. Усугубляет проблему то, что код SDK использовался в миллионах приложений от разных разработчиков.

«Мы изучили два самых популярных запроса HTTP — GET и POST. В запросах GET пользовательские данные обычно содержатся в параметрах URL, а в запросах POST данные пользователей есть в поле Content запроса, не в URL. В рамках исследования мы искали приложения, которые передают незашифрованные данные пользователей посредством хотя бы одного из этих запросов, хотя многие приложения содержали пользовательские данные в обоих», — пишет Унучек в своем отчете.

По его словам, 4 миллиона рассмотренных APK раскрыли те или иные данные. «В некоторых приложениях это происходило по ошибке разработчика, но большинство популярных приложений раскрывали пользовательские данные из-за дефектов сторонних SDK», — говорит специалист.

В одном случае утечки данных исследователи перехватили незашифрованный файл в формате JSON, отправленный от сервера рекламодателя.

«В этом файле мы нашли много пользовательских данных, в том числе информацию об устройствах, даты рождения, имена пользователей и координаты GPS», — сообщает Унучек.

Исследователям не удалось выяснить, у каких именно рекламодателей или приложений были позаимствованы эти SDK. По их словам, некоторые разработчики вредоносных приложений помимо прочего не защищают данные при отправке.

«Это еще хуже, ведь такой зловред может украсть больше конфиденциальных данных, например SMS, историю звонков, контакты и т. д. Вредоносные приложения не только похищают данные пользователей, но и раскрывают их всему Интернету, благодаря чему их может получить и продать кто угодно», — рассказал Унучек.

Он советует пользователям тщательно проверять, какие разрешения они предоставляют новым приложениям. Чем больше разрешений запрашивается, тем больше данных могут получить рекламодатели. Кроме того, он рекомендует использовать VPN.

Категории: Аналитика