Тысячи Android-приложений раскрывают закодированную секретную информацию

Новое исследование Cybernews показывает, что более половины из 30 тыс. проанализированных приложений для Android раскрывают закодированную секретную информацию. Эксперты считают, что это может иметь серьезные последствия как для разработчиков, так и для их клиентов.

Злоумышленники могут получить доступ к ключам API, корзинам Google Storage и незащищенным базам данных и в конечном итоге использовать эту информацию в своих интересах, просто анализируя общедоступную информацию о приложениях, говорится в исследовании.

«Жестко кодировать конфиденциальные данные на стороне пользователя приложения для Android – это плохая идея. В большинстве случаев к нему можно легко получить доступ с помощью обратного проектирования», – отметил исследователь Винсентас Баубонис.

Исследовательская группа также обнаружила 17 557 сегментов Google Cloud Storage (GCS) — ссылки на хранилища, в которых можно хранить все, от текстовых файлов до изображений и видео. Если оставить его открытым, злоумышленник сможет прочитать и записать туда любую информацию. Чаще всего неправильные настройки безопасности возникают во время установки, когда корзину оставляют открытой для всех, у кого есть подключение к интернету, или для любого пользователя Google, прошедшего проверку подлинности, отметили аналитики.

Наибольшее количество корзин GCS было обнаружено в пяти категориях: здоровье и фитнес (1205), образование (1168), инструменты (1135), образ жизни (794) и бизнес (726).