Myslel si, že iOS aplikácie sú bezpečné? Tento objav ťa môže nepríjemne prekvapiť!
Výskum odhalil, že tisíce iOS aplikácií obsahujú pevne zakódované citlivé údaje, ktoré môžu hackeri zneužiť.
Ak si myslel, že aplikácie na Apple zariadeniach, teda aj tie v App Store sú bezpečnejšie ako tie z Google Play, môžeš byť na omyle. Najnovší výskum odhalil, že obrovské množstvo iOS aplikácií obsahuje takzvané „hardcoded secrets“, teda citlivé informácie priamo zakódované v aplikácii. Tieto dáta môžu hackeri zneužiť na neoprávnený prístup k databázam, cloudovým úložiskám alebo platobným systémom. To môže viesť k únikom osobných údajov, finančným podvodom či zneužitiu infraštruktúry aplikácií.
Obrovský problém v bezpečnosti
Podľa výskumu sa v kóde viac ako 156-tisíc iOS aplikácií (čo predstavuje cca 8 % z celkových 1,8 milióna na App Store) nachádzalo vyše 815-tisíc hardcoded secretov. To znamená, že priemerne každá aplikácia obsahovala aspoň 5,2 citlivého kusu informácie. Najhoršie na tom je, že 71 % testovaných aplikácií malo aspoň jeden takýto únik.
Máme tu API kľúče, prihlasovacie údaje, prístupové tokeny či dokonca klúče k platobným systémom ako Stripe. V ruke nesprávneho človeka sa tieto informácie dajú využiť na útoky ktoré môžu spôsobiť obrovské škody, čo predstavuje nevídanú hrozbu pre bežných užívateľov.
Tisícky aplikácií zle chránia cloudové úložiská
Jedna z najväčších chýb, ktoré vývojári robia, je ukladanie prístupových údajov priamo do aplikácie. To znamená, že ktokoľvek so znalosťami dokáže tieto údaje extrahovať a použiť ich na prístup k databázam, úložiskám alebo iným službám.
Podľa analýzy viac ako 78-tisíc iOS aplikácií obsahovalo prístupové informácie k cloudovým úložiskám. Z toho takmer 836 z nich nemalo žiadnu autentifikáciu, čo znamená, že boli plne dostupné komukoľvek. Odhaduje sa, že cez tieto nezabezpečené úložiská unikali stovky terabajtov dát. Pre lepšiu predstavu, aby si vedel o kvante údajov hovoríme, tak odhalených bolo okolo 406 TB údajov.
Neprehliadni
Z verejne dostupných úložísk mohli uniknúť rôzne dáta. Od používateľských registrácií cez logy až po zálohy aplikácií. Aj keď nie všetky sú automaticky vysoko citlivé, ich kombinácia s inými uniknutými kľúčmi môže zvýšiť riziko útokov.
Firebase databázy ako zlatá baňa pre hackerov
Okrem cloudových úložisk boli zle chánené aj Firebase databázy. Tieto databázy od Googlu sú populárnou voľbou pre mobilných vývojárov, ale mnohí zabúdajú na ich zabezpečenie. Viac ako 4% extrahovaných Firebase endpointov nemalo žiadnu autentifikáciu, čo znamená, že do nich mohol prístupovať ktokoľvek.
Výskum odhalil vyše 51 000 Firebase endpointov, z toho 2 218 bolo úplne otvorených, čím došlo k úniku 19,8 milióna záznamov.
Tieto databázy často obsahovali citlivé informácie ako e-mailové adresy, mená, telefónne čísla a dokonca aj históriu transakcií.
Ako ťa to môže ohroziť?
Ak používaš aplikácie, ktoré zle chránia tieto citlivé informácie, vystavuješ sa riziku krádeže osobných údajov, zneužitia platobných údajov, neoprávneného prístupu k tvojej histórii používania aplikácií a riziku zneužitia identity na iné účely. Hackeri môžu získať citlivé údaje, ktoré môžu byť použité na podvody, phishingové útoky alebo dokonca môžu byť predané na čiernom trhu.
Apple na to nestačí?
Aj keď Apple tvrdí, že App Store prechádza prísnou kontrolou, v skutočnosti sa nekontroluje zdrojový kód aplikácií na hardcoded secrets. To znamená, že aj aplikácie s vysokým hodnotením môžu obsahovať tieto zraniteľnosť a hackerom tak poskytovať cenné informácie. Vývojári si musia uvedomiť, že uchovávanie citlivých údajov v kóde je obrovské bezpečnostné riziko. Namiesto toho by mali používať bezpečnejšie metódy, ako je uloženie kľúčov na zabezpečených serveroch.
Je na čase, aby sme si viac dávali pozor na to, aké aplikácie používame a komu zverujeme svoje údaje. Pretože ak niekto dá svoje heslo hackerom na striebornom podnose, nemôže sa ďalej diviť, že mu vybielili účet.
Komentáre