13 ноя 2017 Loader :
Мобильные приложения, "слепленные умельцами", воруют ваши данные
Компания Appthority, занимающаяся вопросами безопасности мобильных устройств в корпоративной среде, заявила, что порядка 700 приложений в корпоративной мобильной среде, включая более 170, которые размещены в официальных магазинах приложений, могут быть подвержены риску шпионажа из-за уязвимости Eavesdropper. Об этом сообщает TechNewsWorld.
Компания рассказала, что уязвимые приложения для Android-устройств были загружены около 180 миллионов раз.
Согласно Appthority, Eavesdropper является результатом того, что разработчики “жестко” кодируют учетные данные в мобильных приложениях, которые используют Twilio Rest API или SDK. Это противоречит практике, которую Twilio рекомендует в своей собственной документации, и Twilio уже обратилась к сообществу разработчиков для работы по обеспечению безопасности учетных записей.
Appthority впервые обнаружила уязвимость еще в апреле.
Сообщается, что уязвимость предоставляет огромное количество конфиденциальных данных, включая записи звонков, минуты вызовов, сделанных на мобильных устройствах, и минуты звуковых записей звонков, а также содержание текстовых сообщений SMS и MMS.
Неверное кодирование Уязвимость Eavesdropper не ограничивается приложениями, созданными с использованием Twilio Rest API или SDK.
«Основная проблема - это лень разработчика, и это не такое уж большое открытие», - сказал Стив Блум, главный аналитик Tellus Venture Associates.
«С приложениями, разрабатываемыми одним человеком или небольшой командой, нет обычных проверок контроля качества, - добавил Блум.
К сожалению, слишком часто вопросы безопасности рассматривается как "места возникновения затрат", а конфиденциальность рассматривается как генератор доходов для компании, которая разрабатывает приложение. Поэтому приложения часто не защищены, а конфиденциальности не существует - чтобы минимизировать затраты и максимизировать доход.
Единственный способ борьбы с этими нарушениями - фактически заплатить полную цену за использование приложений и отклонение приложений, поддерживающих рекламу.
Кроме того, уязвимость не устраняется после того, как затронутое приложение было удалено с устройства пользователя. Вместо этого данные приложения остаются открытыми.
Некоторые пользователи могут приобретать телефоны с предварительно загруженными приложениями, которые могут угрожать их личной информации.
«Twilio может заставить разработчиков обновить свой код приложения путем аннулирования всех учетных данных доступа к их уязвимым API-интерфейсам услуг», - отмечают в TechNewsWorld.
Похоже, что у пользователей мало вариантов, и для потребителей может быть трудно даже увидеть уязвимость приложений, затронутых Eavesdropper.
Отмечается, что это проблема возникла в немалой степени, потому что разработчики были неаккуратными. Кроме того, отчасти это потребительская проблема, ведь многие люди предпочитают простоту использования безопасности мобильных устройств.
«Потребители по-прежнему слишком небрежно относятся к своей конфиденциальности и предпочитают не платить», - отметили в Recon Analytics.
По материалам: https://technewsworld.com/
Источник: http://newsme.com.ua/
Компания рассказала, что уязвимые приложения для Android-устройств были загружены около 180 миллионов раз.
Согласно Appthority, Eavesdropper является результатом того, что разработчики “жестко” кодируют учетные данные в мобильных приложениях, которые используют Twilio Rest API или SDK. Это противоречит практике, которую Twilio рекомендует в своей собственной документации, и Twilio уже обратилась к сообществу разработчиков для работы по обеспечению безопасности учетных записей.
Appthority впервые обнаружила уязвимость еще в апреле.
Сообщается, что уязвимость предоставляет огромное количество конфиденциальных данных, включая записи звонков, минуты вызовов, сделанных на мобильных устройствах, и минуты звуковых записей звонков, а также содержание текстовых сообщений SMS и MMS.
Неверное кодирование Уязвимость Eavesdropper не ограничивается приложениями, созданными с использованием Twilio Rest API или SDK.
«Основная проблема - это лень разработчика, и это не такое уж большое открытие», - сказал Стив Блум, главный аналитик Tellus Venture Associates.
«С приложениями, разрабатываемыми одним человеком или небольшой командой, нет обычных проверок контроля качества, - добавил Блум.
К сожалению, слишком часто вопросы безопасности рассматривается как "места возникновения затрат", а конфиденциальность рассматривается как генератор доходов для компании, которая разрабатывает приложение. Поэтому приложения часто не защищены, а конфиденциальности не существует - чтобы минимизировать затраты и максимизировать доход.
Единственный способ борьбы с этими нарушениями - фактически заплатить полную цену за использование приложений и отклонение приложений, поддерживающих рекламу.
Кроме того, уязвимость не устраняется после того, как затронутое приложение было удалено с устройства пользователя. Вместо этого данные приложения остаются открытыми.
Некоторые пользователи могут приобретать телефоны с предварительно загруженными приложениями, которые могут угрожать их личной информации.
«Twilio может заставить разработчиков обновить свой код приложения путем аннулирования всех учетных данных доступа к их уязвимым API-интерфейсам услуг», - отмечают в TechNewsWorld.
Похоже, что у пользователей мало вариантов, и для потребителей может быть трудно даже увидеть уязвимость приложений, затронутых Eavesdropper.
Отмечается, что это проблема возникла в немалой степени, потому что разработчики были неаккуратными. Кроме того, отчасти это потребительская проблема, ведь многие люди предпочитают простоту использования безопасности мобильных устройств.
«Потребители по-прежнему слишком небрежно относятся к своей конфиденциальности и предпочитают не платить», - отметили в Recon Analytics.
По материалам: https://technewsworld.com/
Источник: http://newsme.com.ua/
Канал: Android: Устройства
574 | 1 | 2 | 0 |
Комментарии (1)
И ниче не написано что производители телефонов впихивают без согласия покупателей шпионские приложения типо facebook,гугле,твитер,браузеры от американцев и много других называемые системными приложениями. Телефон должен продаватся чистым,а нужные приложения мы сами должны скачивать,устанавливать. Многие владельцы телефонов выходят в интернет обязательно только через гугле и др.варианты им не известны. Именно поэтому все эти гугловые пользователи под американским или китайским колпаком. Многим програмам выход в интернет не обязателен,но почти во всех есть адреса куда сливается накопленная инфа. Отключение интернета программой типо лукиПатчером часто не остонавливает работу шпионских функций потому что часть ссылок находящиеся в недрах программы не затрагиваются подобными программами. Для введения в заблуждение и создание нудной суеты придуманы способы типо рут права которые,типо,помогают избавится от функциональной лживости. Если телефоны будут продаватся относительно "чистыми" то эта замарочка,типо,рут права не будет востребована. Можно много перечислять о внедренных производителями телефонов "замарочек с запасом" но они,выполняя заказы спецслужб, так старательно запутывается ради того что бы урвать чужую,типо,конфидециальную инфо. Эти моменты в системах даже в спец.учебных гражданских заведениях закрыты по типу "средневековья" . Сегодня очевидно что система андроид нужная вещь,но жаль что ее загадили и гадят американцы,китайцы в наглую внедряя в ПО еще с заводов лживость
Для добавления комментариев необходимо авторизоваться