Како ваше апликације могу да откривају ваше приватне податке
где је одрастао цам Невтон
Да ли су мобилне апликације које користимо за слање фотографија и текстуалних порука пријатељима толико сигурне колико бисмо сви желели да мислимо да јесу? Најновији - али кад мало боље размислите, прилично изненађујуће - одговор? Вероватно не. Према објављено истраживање истраживачке и образовне групе Универзитета Нев Хавен за цибер форензику (цФРЕГ), популарне Андроид и иОС апликације које користи 968 милиона корисника паметних телефона подложне су широком спектру озбиљних безбедносних проблема, кршењу приватности и другим рањивостима, многе узрокованим недостатком основног шифровања и потврде идентитета ради заштите података када се преносе или чувају.
ЦФРЕГ каже да ће открити сигурносне проблеме које је пронашао у више од десетак апликација у низу видео записа током периода од пет дана, почев од оне објављене у недељу . (Остало ће бити доступно на блогу групе и ИоуТубе канал .) Током недеље група ће откривати сигурносне проблеме и идентификовати апликације на које утичу. Сигурносна питања „укључују лозинке доступне у обичном тексту и приватне информације ускладиштене на серверима компаније“. Ибрахим „Абе“ Баггили, доцент рачунарских наука и шеф цФРЕГ, напомиње:
„Свако ко је користио или наставља да користи тестиране апликације ризикује да повреди поверљиве податке који укључују разне податке, укључујући њихове лозинке у неким случајевима. Иако би сви подаци који се преносе преко ових апликација требали да иду сигурно са једне особе на другу, открили смо да приватне комуникације могу да виде и други јер подаци нису шифровани и оригинални корисник нема појма. “
Локације корисника, лозинке, евиденције ћаскања, слике, видео записе, звук и скице потенцијално може видети неко ко користи рањивости пронађене у више од десетак апликација, укључујући апликације за друштвене медије, ћаскање и упознавање. Тим цФРЕГ-а је покушао да обавести компаније које стоје иза сваке од апликација, али многе пружају само образац за контакт на мрежи за подршку без директног начина да дођу до програмера или сигурносног тима.
Баггили објашњава да „Нисмо имали другог избора него да користимо обрасце за контакт за подршку доступни на њиховим веб локацијама, а већина компанија није ни одговорила. Ово погоршава проблем - и показује да програмери мобилних уређаја још увек не схватају сигурност озбиљно. “ Први видео каже да се рањивости јавно деле како би се обавестили и корисник и програмер о безбедносним проблемима. Прошлог пролећа, цФРЕГ је објавио рањивости у ВхатсАпп-у и Вибер-у, скрећући пажњу широм света, а обе компаније су решиле безбедносне проблеме својих апликација.
За тест су истраживачи са Универзитета у Нев Хавен-у створили тест мрежу користећи Виртуални минипорт адаптер за Виндовс 7 и повезали Андроид телефон ХТЦ Оне (М8) са мрежом. Тест је такође користио иПад 2 повезан изван мреже за размену података са телефоном и алате, укључујући Виресхарк, НетворкМинер и НетВитнесс Инвестигатор за надгледање целокупног промета који је Андроид телефон послао и примио.
Тестови описани у првом видео снимку пронашли су рањивости у Инстаграму, ОкЦупид-у и ооВоо-у. Инстаграм, на пример, на својим серверима чува фотографије које је отпремила његова база корисника више од 200 милиона нешифрованих, без потврде идентитета. Такође преноси слике без шифрирања. Видео напомиње да програмери морају да се баве питањима сигурности података и њихове приватности - што подразумева сигуран пренос података, односно безбедно складиштење података. Актуелне верзије многих апликација странцима олакшавају приступ сликама и порукама које корисници деле путем својих мобилних апликација, а тим информацијама се може приступити а да корисник чак и не зна да му је нарушена приватност.
ВентуреБеат сазнао да је цФРЕГ пронашао рањивости у скоро две десетине апликација , укључујући Инстаграм, ОкЦупид, Вордс витх Фриендс, Вине и Лине, као и друге попут ооВоо, Танго, Кик, Нимбузз, МеетМе, МессагеМе, ТектМе, Гриндр, ХеиВире, Хике, тектПлус, МиЦхат, ВеЦхат, ГроупМе, Вхиспер и Вокер . Баггили је рекао ВентуреБеат да многе апликације не успевају да шифрују податке попут фотографија, текстуалних порука и звука. Чак се и лозинке често чувају као обичан текст, поруке се преносе без шифрирања, а датотеке се чувају без заштите на серверима компаније.
Баггили је рекао да програмери који стоје иза многих ових апликација „не схватају безбедност озбиљно“. Такође је приметио да, иако нема доказа да је било која од рањивости била намерна, то такође не може бити искључено. Извештај преусмерава фокус разговора на мобилну безбедност са облака - тамо где је усмерен од неправилног хаковања иЦлоуд-а - на дизајн појединачних апликација и пажњу коју програмери посвећују изградњи метода за безбедно чување и пренос информација и примену чак и најосновније мере безбедности како би се осигурало да приватни подаци корисника остану приватни. Очекује се да ће серија видео снимака коју је цФРЕГ објавио ове недеље илустровати да је проблем сигурности мобилних апликација много већи него што би већина људи желела да мисли.
Са готово милијарду корисника међу њима, погођене апликације могу да открију милионе информација корисника. Надамо се да ће идентификовање небезбедних апликација и јавно објављивање истраживања о рањивостима покренути процес програмера који чине њихове апликације сигурнијим и потрошачима више свесни ризика дељења својих личних података путем апликација које изгледају очигледно небезбедне. Ако програмери заиста не схватају озбиљно сигурност и приватност података корисника, у њиховом ће најбољем интересу бити да поправе неисправан дизајн својих апликација пре него што се рањивости искористе.
На веб локацији Универзитета у Нев Хавен-у Баггили се залаже за то да потрошачи који користе апликације са безбедносним проблемима свакодневно проверавају исправке и такође науче да самостално покрећу тестове безбедности. „Заиста не можете знати шта раде ове апликације ако то сами не тестирате“, каже он.
Још од Тецх Цхеат Схеет:
- Ово највеће издање ове видео игре ове недеље
- Ево како ће Аппле заштитити кредитне картице у вашем дигиталном новчанику
- 3 цурења из ласт минуте: Аппле иПхоне 6, иВатцх и други