Эксперты обнаружили две тысячи уязвимостей в приложениях для общения

Среди них почти 350 — высокого уровня критичности. К такому выводу пришли специалисты AppSec Solutions, которые провели исследование мобильных приложений в категории «общение и нетворкинг» с помощью сервиса AppSec.Sting. Чтобы новые знакомства и  общение с близкими не стали причиной утечки данных, эксперты AppSec Solutions рекомендуют с осторожностью относиться к незнакомым приложениям и не пренебрегать кибер-гигиеной.

Самые опасные из таких уязвимостей — хранение чувствительной информации в открытом виде, в частности, 22 приложения содержали пароли и токены в исходном коде приложения, что существенно облегчает хакерам взлом системы. Такие приложения, рассказывают ИБ-инженеры, могут содержать доступные на запись базы данных в сторонних сервисах, до которых вполне могут добраться злоумышленники.

«В приложениях для общения и знакомств чаще всего встречаются уязвимости, связанные с хранением и обработкой чувствительных данных пользователей. Одна из самых распространенных проблем — сохранение паролей, токенов и ключей доступа в открытом виде, в том числе непосредственно в исходном коде, в приватной директории или во внешних конфигурационных сервисах. Это существенно упрощает злоумышленникам задачу по взлому аккаунтов и получению доступа к персональным данным. Вторая популярная категория уязвимостей связана с ошибками в механизмах аутентификации и управления сессиями. Речь идет о недостаточной проверке прав доступа, возможности подмены идентификаторов пользователей и отсутствии корректного отзыва сессий, что в ряде случаев позволяет получить доступ к чужим перепискам. Третья распространенная проблема — неправильная работа с внешними сервисами и SDK, к примеру, Firebase Remote Config. Несмотря на прямые рекомендации не хранить там чувствительную информацию, разработчики нередко размещают в таких сервисах ключи доступа, токены и секреты, что может привести к компрометации как самого приложения, так и серверной инфраструктуры» — рассказал руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никита Пинаев.

В общей сложности, в ходе исследования протестировали 100 наиболее популярных приложений в категории «общение и нетворкинг». Это различного рода мессенджеры, а также многочисленные приложения для знакомств.