Популярные приложения для Android провалили тесты на безопасность

09.09.2014 | 00:12 Экономика

Исследование показало, что Instagram и Grindr хранят изображения на своих серверах, которые доступны без аутентификации

В соответствии с результатами нового исследования, Instagram, Grindr, OkCupid и многие другие приложения для Android не в состоянии соблюсти основные меры предосторожности для защиты данных своих пользователей, ставя их приватность под угрозу.
 
Результаты получены университетом New Haven’s Cyber Forensics Research и образовательной группой Education Group (UNHcFREG), которая недавно обнаружила уязвимости в приложениях обмена сообщениями WhatsApp и Viber.

На этот раз, они расширили круг анализируемых приложений Android, в поиске слабых сторон, которые могли бы привести к риску перехвата данных. Группа выпустит по одному видео в день на этой неделе на своем канале YouTube, подчеркнув выводы, которые, по их словам могут коснуться 1 млрд. пользователей.

«Мы обнаружили, что разработчики приложений довольно неряшливы», сказал Ибрагим Баггили, директор и главный редактор UNHcFREG

Исследователи использовали инструменты анализа трафика, такие как Wireshark и NetworkMiner, чтобы наблюдать изменение данных, когда производились определенные действия. Это показало, как и где приложения хранят и передают данных.

Приложение Facebook Instagram, например, до сих пор хранит изображения на своих серверах, которые не зашифрованы и доступны без аутентификации. Они обнаружили такую же проблему в таких приложениях, как Oovoo, MessageMe, Tango, Grindr, HeyWire и TextPlus, когда фотографии отправлялись от одного пользователя к другому.

Эти сервисы хранили контент с помощью простых «HTTP» ссылок, которые затем направлялись получателям. Но проблема в том, что если «кто-то получает доступ к этой ссылке, это означает, что он может получить доступ к изображению, которое было отправлено. Там нет аутентификации», сказал Баггили.

Сервисы должны либо обеспечить быстрое удаление изображения с серверов, или что только авторизованные пользователи могут получать к ним доступ, сказал он.

Многие приложения не шифруют логи чатов на устройстве, в том числе Oovoo, Kik, Nimbuzz и MeetMe. Это представляет опасность, если кто-то потеряет свои устройства, сказал Багилли.
«Тот, кто получает доступ к вашему телефону, может сбросить дамп и увидеть все сообщения в чате, которые были отправлены», сказал он. Другие приложения не шифруют логи чатов на сервере, добавил он.

Другой важный вывод, что многие приложения либо не используют протокол SSL/TLS (Secure Sockets Layer/Transport Security Layer) или небезопасно его используют, сказал Баггили.
Хакеры могут перехватить незашифрованный трафик по Wi-Fi, если жертва находится в общественном месте. Протоколы SSL/TLS считаются основной мерой предосторожности, хотя в некоторых случаях и она не помогает.

Приложение OKCupid, используемое около 3-мя миллионами пользователей, не шифрует чаты через SSL, сказал Баггили. Используя снифер трафика, исследователи могли видеть текст, который был отправлен, а также того, кто его отправил.
 
Баггили сказал, что его команда связалась разработчиками приложений, которые они изучили, но во многих случаях они не смогли легко достучаться до них. Команда писала в поддержку, но часто не получала ответов, сказал он.