ИТ / Новости
информбезопасность
2.9.2022

Тысячи Android-приложений раскрывают закодированную секретную информацию

Новое исследование Cybernews показывает, что более половины из 30 тыс. проанализированных приложений для Android раскрывают закодированную секретную информацию. Эксперты считают, что это может иметь серьезные последствия как для разработчиков, так и для их клиентов.

Злоумышленники могут получить доступ к ключам API, корзинам Google Storage и незащищенным базам данных и в конечном итоге использовать эту информацию в своих интересах, просто анализируя общедоступную информацию о приложениях, говорится в исследовании.

«Жестко кодировать конфиденциальные данные на стороне пользователя приложения для Android – это плохая идея. В большинстве случаев к нему можно легко получить доступ с помощью обратного проектирования», – отметил исследователь Винсентас Баубонис.

Исследовательская группа также обнаружила 17 557 сегментов Google Cloud Storage (GCS) — ссылки на хранилища, в которых можно хранить все, от текстовых файлов до изображений и видео. Если оставить его открытым, злоумышленник сможет прочитать и записать туда любую информацию. Чаще всего неправильные настройки безопасности возникают во время установки, когда корзину оставляют открытой для всех, у кого есть подключение к интернету, или для любого пользователя Google, прошедшего проверку подлинности, отметили аналитики.

Наибольшее количество корзин GCS было обнаружено в пяти категориях: здоровье и фитнес (1205), образование (1168), инструменты (1135), образ жизни (794) и бизнес (726).

Изображение: Adobe Stock, Cybernews

Еще по теме

За счет чего российская цифровая техника будет востребована за рубежом

Как изменились подходы и скорость цифровизации за последние 20 лет

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы