ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Лень ломает приложения

Уязвимости в приложениях

Немецкие исследователи обнаружили потенциальную "дыру" в хранении пользовательских данных сторонними приложениями. По их словам, эта угроза может включать в себя более 56 млн единиц уязвимой информации. Эксперты рассказали, насколько серьезной может быть угроза и как с ней необходимо бороться.

Исследователям из Германии удалось обнаружить около 56 млн единиц незащищенной информации, сообщает Reuters. Они включают в себя как такие безобидные данные, как сведения из игр, так и информацию из социальных сетей, переписок, медицинские данные и сведения о банковских транзакциях.

Один из исследователей Зигфрид Растофер заявил, что практически в каждой категории приложений есть программа, которая несет в себе уязвимость. По оценкам экспертов, всего подобных незащищенных записей может быть несколько миллиардов.

Проблема, по словам аналитиков, заключается в методе, который используют разработчики приложений для хранения данных. В данный момент часто используются сервисы облачного хранения данных наподобие Amazon Web Services и Facebook Parse. И хотя эти сервисы предлагают специальные методы защиты хранящейся на них информации, большинство используют стандартный метод связки профиля и привязанной к нему информации, состоящий из определенной последовательности букв и цифр (токенов).

Этот токен хранится в приложении, и хакеры, по словам главы группы инженеров Эрика Боддена, могут без особых проблем получить его, что позволяет получить доступ к защищенным данным, хранящимся на сервере.

По словам исследователей, пока нет задокументированных случаев использования данной уязвимости. Но в Facebook уже работают над решением этой проблемы и повышением безопасности хранящихся у них данных. В Apple также повысят требования к приложениям, публикуемым в магазине AppStore, в соответствии с данным исследованием.

Как заявил руководитель группы исследования мобильных угроз "Лаборатории Касперского" Виктор Чебышев, данная угроза может быть очень серьезной. Эксперт связывает это с доминированием низкой культуры написания кода, при которой не все разработчики обеспокоены безопасностью пользователя. "Отсюда и проблемы с тем, что разработчики используют сторонние API по умолчанию без шифрования. В данном случае из-за лени для одного приложения используется по сути общий ключ доступа к информации", – указал Чебышев.

Таким образом, по его словам, установив себе приложение, киберпреступник может получить доступ к данным многих пользователей, и для этого ему достаточно иметь навыки реверс-инжиниринга.

Чтобы бороться с этим, необходимо повышать качество кода и всегда использовать шифрование, особенно когда речь идет о передаче данных пользователей. "С точки зрения пользователя универсальной защиты от этого не существует, единственное, что мы можем посоветовать, – не использовать систему логина через Facebook/Twitter/другие социальные сети на всех подряд сервисах и в других приложениях", – добавил Чебышев.

Как рассказал заместитель генерального директора компании Zecurion Александр Ковалев, если система безопасности приложения организована правильно, то одного токена будет недостаточно. Есть разнообразные уровни защиты, которые не позволяют подключаться к серверу по одному лишь "выдернутому" ключу. "На самом сервере также может быть многоуровневая система защиты, и данный токен может быть базовым и лишь запускать механизм разблокировки данных для конкретного приложения, который включает в себя несколько других ключей шифрования", – указал Ковалев.

Как он отметил, хорошие разработчики делают нехитрую, но действенную систему защиты данных, при которой сервис состоит из трех частей: это само приложение на смартфоне, серверная часть, которая отвечает за обработку данных, и сама база данных, на которой информация хранится. Все это должно быть максимально обособлено друг от друга и должно взаимодействовать между собой только с помощью шифровальных методов.

Кроме того, приложения могут сами зашифровывать и расшифровывать хранящиеся на сервере данные, и даже если их удастся получить, прочитать хранящуюся в них информацию без другого ключа, ключа расшифровки, будет невозможно, добавил эксперт.

"Если же говорить о банковских приложениях, то там, как правило, авторизуется уже не приложение, но само устройство", – отметил Ковалев. По его словам, даже если есть все ключи шифрования, без сведений о самом аппарате подключиться к банку будет невозможно. Сведения же хранятся в системе устройства, и таким образом без физического доступа к смартфону получить данные с сервера банка нельзя.

Однако это все же в идеальных условиях.

По факту же, как показало исследование немецких ученых, получение доступа к данным приложения, к сожалению, проще, и потому пока проблема носит массовый характер.

Автор статьи: Михаил Бушуев


Газета.Ru (23.06.2015 в 09:57) | вверх страницы | к списку статей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"