Токен 2SDnjePPp7S

ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу

Премия Securitymedia
ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу
ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу
16.10.2023

Photos_0244.jpg
Юрий Шабалин

Генеральный директор Стингрей Технолоджиз


Отсутствие проблем безопасности в мобильных приложениях не менее важно, чем защищенность серверной части. Это заявление должно быть аксиомой, но в нем продолжают сомневаться - многим кажется, что мобильные приложения не несут в себе никаких рисков, поскольку являются лишь отображением данных с сервера. Ну или, в крайнем случае, наличие уязвимости там может нанести вред лишь одному пользователю и никак не скажется на бизнесе. Юрий Шабалин, генеральный директор компании Стингрей Технолоджиз, решил развеять это заблуждение, собрав в одном материале наиболее интересные и громкие уязвимости в мобильных приложениях, которые привели к серьезным финансовым и репутационным потерям для компаний, владеющих ими.

1. TikTok: раскрытие данных буфера обмена и другие проблемы безопасности

В 2020 году было обнаружено, что популярное социальное приложение TikTok получает доступ к данным буфера обмена на устройствах iOS без явного согласия пользователей. Это вызвало опасения в отношении конфиденциальности и возможного раскрытия чувствительной информации.

В этом же году были обнаружены другие уязвимости, за счет которых злоумышленники могли манипулировать учетными записями пользователей, получать доступ к персональным данным или распространять вредоносное содержимое. Кроме того, TikTok начали подозревать в возможных связях с иностранными правительствами. После этого скандала приложение было заблокировано в ряде стран для загрузки и запрещено к использованию.

Кроме того, был подан коллективный иск к TikTok, и компании пришлось выплатить 92 млн долл. В частности, истцы были недовольны, что приложение не только анализирует лица пользователей, определяя пол, возраст и этническую принадлежность, но и передает персональные данные в нарушение закона. В мировое соглашение были включены почти все пользователи из США.

Данная уязвимость подчеркнула необходимость тщательно следить, что именно собирает в рамках своей работы мобильное приложение, как оно может нарушать конфиденциальность. Ну и, конечно, TikTok получила немало негатива, потеряла большую часть аудитории и немало заработанных средств.

2. Данные карты активности приложения Strava

В 2018 году фитнес-приложение Strava опубликовало глобальную тепловую карту активности пользователей, включающую данные о повседневных перемещениях военнослужащих, а также о передвижениях на военных базах и в горячих точках. Публике оказалась доступна информация, которая обычно засекречена. Несмотря на то, что представители Strava активно говорят о том, что данные обо всех пользователях на карте анонимизированы, некоторым энтузиастам удалось обнаружить, что если на сайте приложения вставить в ссылку идентификатор маршрута, можно увидеть лучшие результаты пользователей и их публичные профили.

Помимо этого, участники различных военных конфликтов сообщают, что изучают эту карту для своих целей. Этот инцидент привел к ущербу репутации Strava и вызвал дискуссии о последствиях для безопасности при обмене персональными данными о физической активности через мобильные приложения. Более того, некоторые специалисты говорят о том, что сведения, раскрываемые Strava, могут наносить ущерб национальной безопасности.

3. Взлом учетных записей в мобильном приложении Starbucks

В 2015 году Starbucks столкнулась с уязвимостью в своем мобильном приложении, которая позволяла злоумышленникам захватывать учетные записи пользователей. Недостаточно надежные механизмы аутентификации и небезопасные процессы сброса пароля были причиной этой проблемы. Злоумышленники использовали уязвимость для доступа к платежным данным клиентов и для совершения мошеннических транзакций. Этот инцидент привел к финансовым потерям для пострадавших клиентов и существенно ударил по репутации и доверию к компании Starbucks.

4. WhatsApp: шпионское ПО, "Media File Jacking" и социалка

В 2019 году было обнаружено, что популярный мессенджер WhatsApp содержит уязвимость, которая позволяет злоумышленникам устанавливать шпионское программное обеспечение Pegasus на устройства пользователей. Такое ПО могло получать доступ и собирать чувствительные сведения, включая сообщения, журналы звонков и т.д. Известно, что были взломаны смартфоны не менее 100 журналистов, правозащитников и государственных деятелей для осуществления слежки и кражи данных.

В том же году в WhatsApp была обнаружена уязвимость, известная как "Media File Jacking", затрагивающая версии для Android и iOS. Это позволяло злоумышленникам манипулировать медиа-файлами (фотографии и видео) до их открытия или просмотра получателем. Атакующие могли заменять их на произвольное содержимое, что приводило к самым печальным последствиям. К примеру, вместо получения фотографии котика, пользователь открывал фотографию, содержащую неприличные изображения или призывы к различным незаконным действиям.

В 2021 году исследователь по безопасности обнаружил уязвимость в механизме приглашения в групповые чаты WhatsApp. Уязвимость позволяла злоумышленникам добавлять пользователей в произвольные групповые чаты без их согласия, что могло подвергнуть их нежелательному контенту, существенно упрощало фишинг и атаки с использованием социальной инженерии.

Очевидно, что все эти истории привели к тому, что поклонников у приложения значительно убавилось, а от славы “дырявого мессенджера” избавиться очень непросто.

5. Раскрытие данных аудио-приложения Clubhouse

В феврале 2021 года было обнаружено, что аудио-социальная сеть Clubhouse имеет уязвимость, позволяющую злоумышленнику транслировать и записывать аудио-разговоры без ведома пользователей. Кроме того, выяснилось, что ID пользователей передаются в виде открытого текста, благодаря чему общение могло быть деанонимизировано. Эта уязвимость вызвала целую волну негатива в адрес компании, заставило большое количество пользователей удалить это приложение со своих устройств, а также привлекло внимание к проблеме безопасности аудио-данных, которые обрабатываются в приложениях.

6. Атака методом перебора PIN-кода в мессенджере Signal

В октябре 2020 года исследователь обнаружил уязвимость в популярном мессенджере Signal, которая позволяла осуществить атаку методом перебора PIN-кода. Эта уязвимость потенциально могла позволить злоумышленнику получить несанкционированный доступ к учетной записи пользователя. Несмотря на то, что данный мессенджер позиционируется, как “защищенный”, уязвимости и проблемы безопасности не обошли стороной и его. Безусловно, наличие такой уязвимости не могло не сказаться на уменьшении числа поклонников приложения.

7. Проблемы с мобильными продуктами Microsoft

В декабре 2020 года была обнаружена уязвимость в мобильном приложении Microsoft Office для Android, которая позволяла злоумышленникам осуществлять удаленное выполнение кода на целевых устройствах. Уязвимость могла быть эксплуатирована, если пользователь открывал специально созданный документ Office в мобильном приложении, что приводило к полной компрометации конфиденциальной информации и всех документов, сохраненных пользователем на своем устройстве (а может быть даже и в облаке).

В 2021 году была обнаружена уязвимость в приложении Microsoft Authenticator для iOS, которое используется для двухфакторной аутентификации во многих сервисах. Уязвимость позволяла злоумышленнику обойти механизмы безопасности приложения и получить доступ к учетной записи пользователя на скомпрометированном устройстве.

Несмотря на то, что пользователи уже привыкли к различным проблемам безопасности в продуктах Microsoft, сообщение об очередной уязвимости в версиях для мобильных решений (где гигант не занимает большой доли рынка, но очень хотел бы) не могло не нанести серьезный удар по репутации компании.

8. Zoom: эксплойт идентификаторов встреч и проблема с шифрованием

В апреле 2020 года была выявлена уязвимость в приложении видеоконференций Zoom, позволяющая злоумышленникам присоединяться к закрытым встречам без приглашения или знания идентификатора встречи. Эта проблема безопасности, известная как атака «Zoom-bombing», привела к несанкционированному доступу неавторизованных лиц к чувствительным встречам и получению интересующей их информации. Подтвержденных данных нет, и можно только представить себе, сколько закрытых сведений о контрактах, проектах, контрагентах, финансовых показателях, тендерах и т.д. утекло через такие виртуальные собрания.

В этом же году приложение критиковали за ложь насчет шифрования. Было обнаружено, что реализация шифрования в Zoom позволяла компании получать доступ к видео- и аудио-контенту участников. Это вызвало опасения относительно конфиденциальности пользователей и безопасности чувствительных разговоров. В итоге, компания была вынуждена в сжатые сроки переделать способ шифрования пользовательских данных и осуществить ряд мероприятий по ИБ, что было связано с серьезными расходами. И как раз вовремя - удобство использования, отсутствие серьезных проблем и уязвимостей позволило Zoom “взлететь” в пандемию, когда все встречи по всему миру ушли в виртуальное пространство.

9. Уязвимости в Snapchat

Snapchat сталкивался с несколькими уязвимостями на протяжении многих лет, включая проблемы с конфиденциальностью и безопасностью пользователей. Например, в 2019 году была обнаружена «дыра», позволяющая проводить атаки на аккаунты Snapchat, что давало им несанкционированный доступ к профилям пользователей (включая возможность действовать от их имени) и к чувствительной информации.

В 2020 году была обнаружена уязвимость в Snapchat, позволяющая злоумышленникам отслеживать местоположение пользователей в режиме реального времени. Пользуясь ею, третьи лица могли мониторить перемещения людей без их ведома или согласия, создавая угрозы для личной безопасности и конфиденциальности.

Предание огласке этих и других проблем ИБ сервиса вызвало негатив среди пользователей и привело к сокращению его аудитории.

10. Захват аккаунтов в приложении Uber

В 2017 году стало известно об уязвимости в приложении Uber, позволяющей злоумышленникам захватывать пользовательские аккаунты. Злоумышленники могли получить доступ к ним, совершать несанкционированные поездки и в некоторых случаях завладеть платежными данными. Эта уязвимость подчеркнула важность надежных механизмов аутентификации и риски, связанные с компрометацией пользовательских аккаунтов. Ну и конечно, все это привело к колоссальным убыткам для компании.

11. Account takeover в Airbnb

В 2019 году была обнаружена уязвимость в процессе аутентификации Airbnb, позволяющая злоумышленникам захватывать аккаунты пользователей. Используя ее, третьи лица могли получить доступ к личной информации, совершать мошеннические бронирования или манипулировать существующими заказами. Этот инцидент крайне негативно сказался на репутации сервиса - за ним последовал большой отток пользователей, которые столкнулись с мошенническими действиями.

12. Уязвимости аккаунтов Fortnite

В 2018 году исследователи безопасности обнаружили уязвимости в Fortnite, популярной онлайн-игре. Дыры в безопасности позволяли злоумышленникам захватывать пользовательские аккаунты, осуществлять несанкционированные покупки и получать доступ к личной информации. Этот инцидент подчеркнул риски, связанные с игровыми приложениями, и важность обеспечения безопасности пользовательских аккаунтов и конфиденциальных данных. Родственники многих игроков нередко обращают внимание на проблемы с защищенностью таких продуктов, но увлеченные дети и подростки не всегда реагируют. Именно поэтому инциденты с кражей пользовательских данных и средств продолжают происходить.

13. Уязвимости в операционных системах

Завершающим аккордом в сегодняшней подборке станут уязвимости в самих мобильных операционных системах. За последние несколько лет успели “отметиться” и Android, и iOS, причем последняя относительно недавно и сразу несколькими громкими скандалами. Связаны они были с уязвимостями, получившими названия “Операция Триангуляция” и “BlastPass”, которые позволяли устанавливать шпионское ПО или выполнять код на устройстве, просто отправив сообщение в iMessage (причем его даже не нужно было читать, сам факт доставки уже приводил к необратимым последствиям). Уязвимости в самих ОС позволяют злоумышленникам очень многое, включая доступ к звонкам, сообщениям, данным других приложений, манипуляции с микрофоном, динамиком, камерой и т.д. Сколько раз каждый из нас игнорировал предложение обновить версию операционки на своих устройствах? А некоторые недобросовестные производители и вовсе крайне неохотно доставляют обновления безопасности до своих пользователей.

Выводы

В заключении хотелось бы подчеркнуть, что уязвимостей в мобильных приложениях очень и очень много, просто не всегда их предают широкой огласке и не всегда о них становится известно. Согласно нашему исследованию, на конец 2022 года 83% мобильных продуктов содержали проблемы высокого и критического уровней. В этом году мы проанализировали в два раза больше приложений и в скором времени поделимся с вами результатами.

И в завершение хотелось бы обратиться, в первую очередь, к пользователям. Подумайте, сколько личной и конфиденциальной информации хранится на вашем устройстве, сколько данных вы предоставляете различным приложениям. И при этом наверняка ко многим сервисам вы используете одинаковые пароли. Старайтесь по возможности не делать этого. А также не использовать подозрительные приложения и уж тем более не вводить конфиденциальную информацию в сомнительные сервисы. Ведь никто не знает, где в следующий раз найдут уязвимость или где произойдет утечка.

Ну и также вам, разработчики мобильных приложений. Прочитав эту статью, задумайтесь, что случилось бы с вами или с вашим бизнесом, если бы одну из описанных проблем нашли в вашем приложении. Смогли ли бы вы восстановиться от подобного удара по репутации, от оттока пользователей или от финансовых потерь? И не стоит думать, что у вас с безопасностью все в порядке - просто наверняка еще никто как следует не искал.


Комментарии 0