⛄🎄Новогодние конкурсы "12 месяцев и квест"
13 ноя 2017 (OFF) Loader (S) :

Мобильные приложения, "слепленные умельцами", воруют ваши данные

Компания Appthority, занимающаяся вопросами безопасности мобильных устройств в корпоративной среде, заявила, что порядка 700 приложений в корпоративной мобильной среде, включая более 170, которые размещены в официальных магазинах приложений, могут быть подвержены риску шпионажа из-за уязвимости Eavesdropper. Об этом сообщает TechNewsWorld.

Компания рассказала, что уязвимые приложения для Android-устройств были загружены около 180 миллионов раз.

Согласно Appthority, Eavesdropper является результатом того, что разработчики “жестко” кодируют учетные данные в мобильных приложениях, которые используют Twilio Rest API или SDK. Это противоречит практике, которую Twilio рекомендует в своей собственной документации, и Twilio уже обратилась к сообществу разработчиков для работы по обеспечению безопасности учетных записей.

Appthority впервые обнаружила уязвимость еще в апреле.

Сообщается, что уязвимость предоставляет огромное количество конфиденциальных данных, включая записи звонков, минуты вызовов, сделанных на мобильных устройствах, и минуты звуковых записей звонков, а также содержание текстовых сообщений SMS и MMS.

Неверное кодирование Уязвимость Eavesdropper не ограничивается приложениями, созданными с использованием Twilio Rest API или SDK.

«Основная проблема - это лень разработчика, и это не такое уж большое открытие», - сказал Стив Блум, главный аналитик Tellus Venture Associates.

«С приложениями, разрабатываемыми одним человеком или небольшой командой, нет обычных проверок контроля качества, - добавил Блум.

К сожалению, слишком часто вопросы безопасности рассматривается как "места возникновения затрат", а конфиденциальность рассматривается как генератор доходов для компании, которая разрабатывает приложение. Поэтому приложения часто не защищены, а конфиденциальности не существует - чтобы минимизировать затраты и максимизировать доход.

Единственный способ борьбы с этими нарушениями - фактически заплатить полную цену за использование приложений и отклонение приложений, поддерживающих рекламу.

Кроме того, уязвимость не устраняется после того, как затронутое приложение было удалено с устройства пользователя. Вместо этого данные приложения остаются открытыми.

Некоторые пользователи могут приобретать телефоны с предварительно загруженными приложениями, которые могут угрожать их личной информации.

«Twilio может заставить разработчиков обновить свой код приложения путем аннулирования всех учетных данных доступа к их уязвимым API-интерфейсам услуг», - отмечают в TechNewsWorld.

Похоже, что у пользователей мало вариантов, и для потребителей может быть трудно даже увидеть уязвимость приложений, затронутых Eavesdropper.

Отмечается, что это проблема возникла в немалой степени, потому что разработчики были неаккуратными. Кроме того, отчасти это потребительская проблема, ведь многие люди предпочитают простоту использования безопасности мобильных устройств.

«Потребители по-прежнему слишком небрежно относятся к своей конфиденциальности и предпочитают не платить», - отметили в Recon Analytics.

По материалам: https://technewsworld.com/

Источник: http://newsme.com.ua/

Комментарии (1)

И ниче не написано что производители телефонов впихивают без согласия покупателей шпионские приложения типо facebook,гугле,твитер,браузеры от американцев и много других называемые системными приложениями. Телефон должен продаватся чистым,а нужные приложения мы сами должны скачивать,устанавливать. Многие владельцы телефонов выходят в интернет обязательно только через гугле и др.варианты им не известны. Именно поэтому все эти гугловые пользователи под американским или китайским колпаком. Многим програмам выход в интернет не обязателен,но почти во всех есть адреса куда сливается накопленная инфа. Отключение интернета программой типо лукиПатчером часто не остонавливает работу шпионских функций потому что часть ссылок находящиеся в недрах программы не затрагиваются подобными программами. Для введения в заблуждение и создание нудной суеты придуманы способы типо рут права которые,типо,помогают избавится от функциональной лживости. Если телефоны будут продаватся относительно "чистыми" то эта замарочка,типо,рут права не будет востребована. Можно много перечислять о внедренных производителями телефонов "замарочек с запасом" но они,выполняя заказы спецслужб, так старательно запутывается ради того что бы урвать чужую,типо,конфидециальную инфо. Эти моменты в системах даже в спец.учебных гражданских заведениях закрыты по типу "средневековья" . Сегодня очевидно что система андроид нужная вещь,но жаль что ее загадили и гадят американцы,китайцы в наглую внедряя в ПО еще с заводов лживость
Показать комментарий
Скрыть комментарий
Для добавления комментариев необходимо авторизоваться
Версия: Mobile | Lite | Доступно в Google Play