ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу

Юрий Шабалин

Генеральный директор Стингрей Технолоджиз

Отсутствие проблем безопасности в мобильных приложениях не менее важно, чем защищенность серверной части. Это заявление должно быть аксиомой, но в нем продолжают сомневаться - многим кажется, что мобильные приложения не несут в себе никаких рисков, поскольку являются лишь отображением данных с сервера. Ну или, в крайнем случае, наличие уязвимости там может нанести вред лишь одному пользователю и никак не скажется на бизнесе. Юрий Шабалин, генеральный директор компании Стингрей Технолоджиз, решил развеять это заблуждение, собрав в одном материале наиболее интересные и громкие уязвимости в мобильных приложениях, которые привели к серьезным финансовым и репутационным потерям для компаний, владеющих ими.

1. TikTok: раскрытие данных буфера обмена и другие проблемы безопасности

В 2020 году было обнаружено, что популярное социальное приложение TikTok получает доступ к данным буфера обмена на устройствах iOS без явного согласия пользователей. Это вызвало опасения в отношении конфиденциальности и возможного раскрытия чувствительной информации.

В этом же году были обнаружены другие уязвимости, за счет которых злоумышленники могли манипулировать учетными записями пользователей, получать доступ к персональным данным или распространять вредоносное содержимое. Кроме того, TikTok начали подозревать в возможных связях с иностранными правительствами. После этого скандала приложение было заблокировано в ряде стран для загрузки и запрещено к использованию.

Кроме того, был подан коллективный иск к TikTok, и компании пришлось выплатить 92 млн долл. В частности, истцы были недовольны, что приложение не только анализирует лица пользователей, определяя пол, возраст и этническую принадлежность, но и передает персональные данные в нарушение закона. В мировое соглашение были включены почти все пользователи из США.

Данная уязвимость подчеркнула необходимость тщательно следить, что именно собирает в рамках своей работы мобильное приложение, как оно может нарушать конфиденциальность. Ну и, конечно, TikTok получила немало негатива, потеряла большую часть аудитории и немало заработанных средств.

2. Данные карты активности приложения Strava

В 2018 году фитнес-приложение Strava опубликовало глобальную тепловую карту активности пользователей, включающую данные о повседневных перемещениях военнослужащих, а также о передвижениях на военных базах и в горячих точках. Публике оказалась доступна информация, которая обычно засекречена. Несмотря на то, что представители Strava активно говорят о том, что данные обо всех пользователях на карте анонимизированы, некоторым энтузиастам удалось обнаружить, что если на сайте приложения вставить в ссылку идентификатор маршрута, можно увидеть лучшие результаты пользователей и их публичные профили.

Помимо этого, участники различных военных конфликтов сообщают, что изучают эту карту для своих целей. Этот инцидент привел к ущербу репутации Strava и вызвал дискуссии о последствиях для безопасности при обмене персональными данными о физической активности через мобильные приложения. Более того, некоторые специалисты говорят о том, что сведения, раскрываемые Strava, могут наносить ущерб национальной безопасности.

3. Взлом учетных записей в мобильном приложении Starbucks

В 2015 году Starbucks столкнулась с уязвимостью в своем мобильном приложении, которая позволяла злоумышленникам захватывать учетные записи пользователей. Недостаточно надежные механизмы аутентификации и небезопасные процессы сброса пароля были причиной этой проблемы. Злоумышленники использовали уязвимость для доступа к платежным данным клиентов и для совершения мошеннических транзакций. Этот инцидент привел к финансовым потерям для пострадавших клиентов и существенно ударил по репутации и доверию к компании Starbucks.

4. WhatsApp: шпионское ПО, "Media File Jacking" и социалка

В 2019 году было обнаружено, что популярный мессенджер WhatsApp содержит уязвимость, которая позволяет злоумышленникам устанавливать шпионское программное обеспечение Pegasus на устройства пользователей. Такое ПО могло получать доступ и собирать чувствительные сведения, включая сообщения, журналы звонков и т.д. Известно, что были взломаны смартфоны не менее 100 журналистов, правозащитников и государственных деятелей для осуществления слежки и кражи данных.

В том же году в WhatsApp была обнаружена уязвимость, известная как "Media File Jacking", затрагивающая версии для Android и iOS. Это позволяло злоумышленникам манипулировать медиа-файлами (фотографии и видео) до их открытия или просмотра получателем. Атакующие могли заменять их на произвольное содержимое, что приводило к самым печальным последствиям. К примеру, вместо получения фотографии котика, пользователь открывал фотографию, содержащую неприличные изображения или призывы к различным незаконным действиям.

В 2021 году исследователь по безопасности обнаружил уязвимость в механизме приглашения в групповые чаты WhatsApp. Уязвимость позволяла злоумышленникам добавлять пользователей в произвольные групповые чаты без их согласия, что могло подвергнуть их нежелательному контенту, существенно упрощало фишинг и атаки с использованием социальной инженерии.

Очевидно, что все эти истории привели к тому, что поклонников у приложения значительно убавилось, а от славы “дырявого мессенджера” избавиться очень непросто.

5. Раскрытие данных аудио-приложения Clubhouse

В феврале 2021 года было обнаружено, что аудио-социальная сеть Clubhouse имеет уязвимость, позволяющую злоумышленнику транслировать и записывать аудио-разговоры без ведома пользователей. Кроме того, выяснилось, что ID пользователей передаются в виде открытого текста, благодаря чему общение могло быть деанонимизировано. Эта уязвимость вызвала целую волну негатива в адрес компании, заставило большое количество пользователей удалить это приложение со своих устройств, а также привлекло внимание к проблеме безопасности аудио-данных, которые обрабатываются в приложениях.

6. Атака методом перебора PIN-кода в мессенджере Signal

В октябре 2020 года исследователь обнаружил уязвимость в популярном мессенджере Signal, которая позволяла осуществить атаку методом перебора PIN-кода. Эта уязвимость потенциально могла позволить злоумышленнику получить несанкционированный доступ к учетной записи пользователя. Несмотря на то, что данный мессенджер позиционируется, как “защищенный”, уязвимости и проблемы безопасности не обошли стороной и его. Безусловно, наличие такой уязвимости не могло не сказаться на уменьшении числа поклонников приложения.

7. Проблемы с мобильными продуктами Microsoft

В декабре 2020 года была обнаружена уязвимость в мобильном приложении Microsoft Office для Android, которая позволяла злоумышленникам осуществлять удаленное выполнение кода на целевых устройствах. Уязвимость могла быть эксплуатирована, если пользователь открывал специально созданный документ Office в мобильном приложении, что приводило к полной компрометации конфиденциальной информации и всех документов, сохраненных пользователем на своем устройстве (а может быть даже и в облаке).

В 2021 году была обнаружена уязвимость в приложении Microsoft Authenticator для iOS, которое используется для двухфакторной аутентификации во многих сервисах. Уязвимость позволяла злоумышленнику обойти механизмы безопасности приложения и получить доступ к учетной записи пользователя на скомпрометированном устройстве.

Несмотря на то, что пользователи уже привыкли к различным проблемам безопасности в продуктах Microsoft, сообщение об очередной уязвимости в версиях для мобильных решений (где гигант не занимает большой доли рынка, но очень хотел бы) не могло не нанести серьезный удар по репутации компании.

8. Zoom: эксплойт идентификаторов встреч и проблема с шифрованием

В апреле 2020 года была выявлена уязвимость в приложении видеоконференций Zoom, позволяющая злоумышленникам присоединяться к закрытым встречам без приглашения или знания идентификатора встречи. Эта проблема безопасности, известная как атака «Zoom-bombing», привела к несанкционированному доступу неавторизованных лиц к чувствительным встречам и получению интересующей их информации. Подтвержденных данных нет, и можно только представить себе, сколько закрытых сведений о контрактах, проектах, контрагентах, финансовых показателях, тендерах и т.д. утекло через такие виртуальные собрания.

В этом же году приложение критиковали за ложь насчет шифрования. Было обнаружено, что реализация шифрования в Zoom позволяла компании получать доступ к видео- и аудио-контенту участников. Это вызвало опасения относительно конфиденциальности пользователей и безопасности чувствительных разговоров. В итоге, компания была вынуждена в сжатые сроки переделать способ шифрования пользовательских данных и осуществить ряд мероприятий по ИБ, что было связано с серьезными расходами. И как раз вовремя - удобство использования, отсутствие серьезных проблем и уязвимостей позволило Zoom “взлететь” в пандемию, когда все встречи по всему миру ушли в виртуальное пространство.

9. Уязвимости в Snapchat

Snapchat сталкивался с несколькими уязвимостями на протяжении многих лет, включая проблемы с конфиденциальностью и безопасностью пользователей. Например, в 2019 году была обнаружена «дыра», позволяющая проводить атаки на аккаунты Snapchat, что давало им несанкционированный доступ к профилям пользователей (включая возможность действовать от их имени) и к чувствительной информации.

В 2020 году была обнаружена уязвимость в Snapchat, позволяющая злоумышленникам отслеживать местоположение пользователей в режиме реального времени. Пользуясь ею, третьи лица могли мониторить перемещения людей без их ведома или согласия, создавая угрозы для личной безопасности и конфиденциальности.

Предание огласке этих и других проблем ИБ сервиса вызвало негатив среди пользователей и привело к сокращению его аудитории.

10. Захват аккаунтов в приложении Uber

В 2017 году стало известно об уязвимости в приложении Uber, позволяющей злоумышленникам захватывать пользовательские аккаунты. Злоумышленники могли получить доступ к ним, совершать несанкционированные поездки и в некоторых случаях завладеть платежными данными. Эта уязвимость подчеркнула важность надежных механизмов аутентификации и риски, связанные с компрометацией пользовательских аккаунтов. Ну и конечно, все это привело к колоссальным убыткам для компании.

11. Account takeover в Airbnb

В 2019 году была обнаружена уязвимость в процессе аутентификации Airbnb, позволяющая злоумышленникам захватывать аккаунты пользователей. Используя ее, третьи лица могли получить доступ к личной информации, совершать мошеннические бронирования или манипулировать существующими заказами. Этот инцидент крайне негативно сказался на репутации сервиса - за ним последовал большой отток пользователей, которые столкнулись с мошенническими действиями.

12. Уязвимости аккаунтов Fortnite

В 2018 году исследователи безопасности обнаружили уязвимости в Fortnite, популярной онлайн-игре. Дыры в безопасности позволяли злоумышленникам захватывать пользовательские аккаунты, осуществлять несанкционированные покупки и получать доступ к личной информации. Этот инцидент подчеркнул риски, связанные с игровыми приложениями, и важность обеспечения безопасности пользовательских аккаунтов и конфиденциальных данных. Родственники многих игроков нередко обращают внимание на проблемы с защищенностью таких продуктов, но увлеченные дети и подростки не всегда реагируют. Именно поэтому инциденты с кражей пользовательских данных и средств продолжают происходить.

13. Уязвимости в операционных системах

Завершающим аккордом в сегодняшней подборке станут уязвимости в самих мобильных операционных системах. За последние несколько лет успели “отметиться” и Android, и iOS, причем последняя относительно недавно и сразу несколькими громкими скандалами. Связаны они были с уязвимостями, получившими названия “Операция Триангуляция” и “BlastPass”, которые позволяли устанавливать шпионское ПО или выполнять код на устройстве, просто отправив сообщение в iMessage (причем его даже не нужно было читать, сам факт доставки уже приводил к необратимым последствиям). Уязвимости в самих ОС позволяют злоумышленникам очень многое, включая доступ к звонкам, сообщениям, данным других приложений, манипуляции с микрофоном, динамиком, камерой и т.д. Сколько раз каждый из нас игнорировал предложение обновить версию операционки на своих устройствах? А некоторые недобросовестные производители и вовсе крайне неохотно доставляют обновления безопасности до своих пользователей.

Выводы

В заключении хотелось бы подчеркнуть, что уязвимостей в мобильных приложениях очень и очень много, просто не всегда их предают широкой огласке и не всегда о них становится известно. Согласно нашему исследованию, на конец 2022 года 83% мобильных продуктов содержали проблемы высокого и критического уровней. В этом году мы проанализировали в два раза больше приложений и в скором времени поделимся с вами результатами.

И в завершение хотелось бы обратиться, в первую очередь, к пользователям. Подумайте, сколько личной и конфиденциальной информации хранится на вашем устройстве, сколько данных вы предоставляете различным приложениям. И при этом наверняка ко многим сервисам вы используете одинаковые пароли. Старайтесь по возможности не делать этого. А также не использовать подозрительные приложения и уж тем более не вводить конфиденциальную информацию в сомнительные сервисы. Ведь никто не знает, где в следующий раз найдут уязвимость или где произойдет утечка.

Ну и также вам, разработчики мобильных приложений. Прочитав эту статью, задумайтесь, что случилось бы с вами или с вашим бизнесом, если бы одну из описанных проблем нашли в вашем приложении. Смогли ли бы вы восстановиться от подобного удара по репутации, от оттока пользователей или от финансовых потерь? И не стоит думать, что у вас с безопасностью все в порядке - просто наверняка еще никто как следует не искал.