Перейти в телеграм, чтобы получить результаты теста
Главное:
- В коде популярных мобильных приложений обнаружены незашифрованные ключи доступа к облачным сервисам Amazon и Microsoft.
- Это может привести к утечке пользовательских данных и их использованию в преступных целях.
- Причиной проблемы называется халатность разработчиков, не удаляющих ключи после релиза приложений.
Обнаруженные уязвимости
Недавние исследования безопасности от компании Symantec подтвердили наличие незашифрованных ключей AWS и Azure в коде популярных мобильных приложений. Эта находка является тревожным сигналом, так как она открывает возможности для злоумышленников, которые могут получить доступ к чувствительным данным пользователей. В частности, среди затронутых приложений — Pic Stitch и Meru Cabs, которые имеют более 5 миллионов загрузок. Это подчеркивает важность надлежащей обработки учётных данных в процессе разработки и поддержки приложений.
Классификация уязвимых приложений
Было выявлено, что в Google Play уязвимые приложения включают Pic Stitch, Meru Cabs и несколько других с использованием AWS и Azure. В App Store также нашли аналогичные уязвимости, хотя точное количество загрузок в этом магазине сложно определить. Например, приложение Crumbl имеет более 3,9 миллионов оценок. Эти данные показывают, что проблема не ограничивается отдельными разработчиками или платформами.
Причины и последствия
Исследователи указывают, что основная причина данной уязвимости — халатность разработчиков, которые вставляют ключи напрямую в код и забывают их удалить после релиза. Это поведение нарушает основные принципы безопасности. Как результаты опроса показывают, 81% компаний признают, что недостаточная безопасность кода способствует уязвимостям систем. Поскольку мобильные приложения продолжают набирать популярность, важность безопасной разработки становится важнее, чем когда-либо.
Добавить комментарий