Безопасность iOS — это миф: 75% приложений выпускают секреты пользователя хакерам
Загрузка приложения из App Store выглядит как простой и безопасный процесс, но опрос CyberNews показывает, что даже в экосистеме Apple, которая известна своей высокой безопасностью, пользователи не застрахованы: почти 75% приложений iOS позволяют получить конфиденциальную информацию.
Эксперты проанализировали 156 000 приложений — около 8% от общего диапазона Apple App Store. Оказалось, что 71% из них раскрывают по крайней мере один чувствительный секрет, в среднем более 5 таких утечек в каждом применении.
Проблема заключается в привычке разработчиков, непосредственно включающих в кодовые данные, такие как клавиши API, пароли, идентификаторы базы данных и токены доступа.
Хранить секреты в коде можно сравнить с наличием ключа для дома под ковриком — вам просто нужно знать, где искать. И хотя эта практика давно подвергается критике, разработчики продолжают игнорировать угрозу. Последствия могут быть серьезными: даже одна утечка ключей может дать хакерам доступ к пользовательским данным и облачным хранилищам.
Некоторые из наиболее распространенных секретов включают адреса базы данных, облачные ссылки, идентификаторы Google, Facebook и Firebase. Например, ведро для хранения, найденное в более чем 78 000 приложений, позволяет читать или удалять файлы в облаке в случае неправильной конфигурации, а более 42 000 приложений раскрывают URL -адреса базы данных, что также позволяет злоумышленникам получить доступ к журналам активности, паролям и другим пользовательским данным.
Опасность увеличивается, если дополнительные элементы, такие как идентификатор проекта Google, идентификатор клиента, идентификатор приложения, токены OAuth, протекают одновременно. В совокупности они позволяют атаку фальсифицировать приложение, перегружать API, красть учетные записи или изменять данные. Даже идентификатор приложения Facebook и токен клиента может использоваться для создания фишинговых приложений и отправки фальшивых запросов на график API от имени законного программного обеспечения.
Тенденция не ограничивается платформой. Согласно данным Gitguardian, в 2023 году пользователи GitHub непреднамеренно выявили около 12,8 миллиона учетных данных и других конфиденциальных секретов в более чем 3 миллионах общественных репозиториев.
Проблема настолько велика, что уже называется основной угрозой для мобильных приложений. Поставщики и хакеры хорошо осведомлены о масштабе и простоте использования таких уязвимостей, что делает ситуацию особенно тревожной.
Случай нападений на государственные учреждения также является показательным. В конце 2024 года китайские хакеры, поддерживаемые правительством, проникли в Министерство финансов США, используя скомпрометированный ключ API за пределами Trust. Инцидент вновь подтвердил, что даже случайный код может вызвать сбой.
Такие утечки особенно опасны, так как их обнаружение занимает больше времени, чем любой другой тип атаки. Согласно отчету IBM о обнаружении инцидента, связанного с украденными полномочиями, требуется в среднем 292 дня. За это время нападавшие могут свободно действовать в сети.
По мере увеличения количества приложений и объема данных значение хотя бы одного разрыва резко увеличивается. Таким образом, вопрос о безопасности мобильных решений требует внимания сейчас больше, чем когда -либо — от архитектуры приложений до культуры программирования.
В 2024 году еще одно опрос CyberNews выявил риски для пользователей Android, связанных с чрезмерными разрешениями в популярных приложениях. По мнению экспертов, многие приложения требуют значительно большего доступа, чем необходимо для их функционирования, что увеличивает вероятность утечки личных данных.
