USD 92.13
ЕВРО 98.71
Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Популярные приложения для Android провалили тесты на безопасность
Экономика
Исследование показало, что Instagram и Grindr хранят изображения на своих серверах, которые доступны без аутентификации
В соответствии с результатами нового исследования, Instagram, Grindr, OkCupid и многие другие приложения для Android не в состоянии соблюсти основные меры предосторожности для защиты данных своих пользователей, ставя их приватность под угрозу.
Результаты получены университетом New Haven’s Cyber Forensics Research и образовательной группой Education Group (UNHcFREG), которая недавно обнаружила уязвимости в приложениях обмена сообщениями WhatsApp и Viber.
На этот раз, они расширили круг анализируемых приложений Android, в поиске слабых сторон, которые могли бы привести к риску перехвата данных. Группа выпустит по одному видео в день на этой неделе на своем канале YouTube, подчеркнув выводы, которые, по их словам могут коснуться 1 млрд. пользователей.
«Мы обнаружили, что разработчики приложений довольно неряшливы», сказал Ибрагим Баггили, директор и главный редактор UNHcFREG
Исследователи использовали инструменты анализа трафика, такие как Wireshark и NetworkMiner, чтобы наблюдать изменение данных, когда производились определенные действия. Это показало, как и где приложения хранят и передают данных.
Приложение Facebook Instagram, например, до сих пор хранит изображения на своих серверах, которые не зашифрованы и доступны без аутентификации. Они обнаружили такую же проблему в таких приложениях, как Oovoo, MessageMe, Tango, Grindr, HeyWire и TextPlus, когда фотографии отправлялись от одного пользователя к другому.
Эти сервисы хранили контент с помощью простых «HTTP» ссылок, которые затем направлялись получателям. Но проблема в том, что если «кто-то получает доступ к этой ссылке, это означает, что он может получить доступ к изображению, которое было отправлено. Там нет аутентификации», сказал Баггили.
Сервисы должны либо обеспечить быстрое удаление изображения с серверов, или что только авторизованные пользователи могут получать к ним доступ, сказал он.
Многие приложения не шифруют логи чатов на устройстве, в том числе Oovoo, Kik, Nimbuzz и MeetMe. Это представляет опасность, если кто-то потеряет свои устройства, сказал Багилли.
«Тот, кто получает доступ к вашему телефону, может сбросить дамп и увидеть все сообщения в чате, которые были отправлены», сказал он. Другие приложения не шифруют логи чатов на сервере, добавил он.
Другой важный вывод, что многие приложения либо не используют протокол SSL/TLS (Secure Sockets Layer/Transport Security Layer) или небезопасно его используют, сказал Баггили.
Хакеры могут перехватить незашифрованный трафик по Wi-Fi, если жертва находится в общественном месте. Протоколы SSL/TLS считаются основной мерой предосторожности, хотя в некоторых случаях и она не помогает.
Приложение OKCupid, используемое около 3-мя миллионами пользователей, не шифрует чаты через SSL, сказал Баггили. Используя снифер трафика, исследователи могли видеть текст, который был отправлен, а также того, кто его отправил.
Баггили сказал, что его команда связалась разработчиками приложений, которые они изучили, но во многих случаях они не смогли легко достучаться до них. Команда писала в поддержку, но часто не получала ответов, сказал он.
