Находка для шпиона: как Telegram и Facebook попали в список опасных мобильных приложений
Последние пару лет выдались особенно богатыми на масштабные кибератаки. Список пострадавших своими именами напоминает элитный клуб: туда попали Uber, Equifax, Yahoo, Maersk, Парламент Великобритании и даже Национальный комитет Демократической партии США.
Масла в огонь подливают и распространившиеся программы-вымогатели, совокупный ущерб от распространения которых может составить до $121 млрд. Однако масштабные взломы могут преобразиться — теперь хакерам помогают получить доступ к данным популярные мессенджеры. Как получилось, что разработчики приложений порой даже не пытаются защитить данные пользователей? И почему список самых опасных приложений возглавили Telegram, WhatsApp и Facebook Messenger?
Самое худшее уже позади
Большинство пользовательских данных, скорее всего, уже украдены еще год назад, «успокаивают» авторы отчета Appthority, проанализировав тысячу популярных приложений для Android и iOS. Авторы доклада обнаружили, что хотя многие приложения не содержат следов вредоносного программного обеспечения и вопиющих уязвимостей, они обмениваются и хранят данные на ненадежных бэкэнд-серверах, предоставляя доступ к пользовательским данным всем желающим.
Эксперты компании говорят, что они проанализировали серверные подключения 1000 мобильных приложений, чтобы узнать, подключены ли они к общедоступным серверам. Чтобы обеспечить богатые функциональные возможности, разработчики часто используют системы управления базами данных, в которых обнаружены уязвимости, такие как MongoDB, CouchDB, Hadoop, MySQL и ElasticSearch. Последний из них используется для поиска и анализа данных и не имеет встроенного контроля безопасности и доступа, а полагается на внешнюю реализацию этих функций безопасности с помощью плагина аутентификации или API для доступа.
Авторы отчета насчитали более чем 21000 серверов ElasticSearch, к которым подключались мобильные приложения, используя ненадлежащую процедуру проверки подлинности. Эти незащищенные серверы ElasticSearch содержали более 43 терабайт данных, включая личную информацию пользователя, незашифрованные учетные данные, данные геолокации, медицинские данные и прочее. Сузив круг всего до 39 приложений, эксперты Appthority оценили утечку через них в 163,5 Гбайта данных, или более 280 млн записей пользователей, что представляет невероятно ценный подарок для хакеров и хранилищ данных в Dark Web.
Год спустя: чего ждать дальше
Несмотря на прошлогоднюю пессимистическую оценку, отчет Appthority 2018 года открыл новый горизонт «киберхалатности» разработчиков приложений. В своем новом отчете эксперты Appthority проанализировали уже более 2,7 млн мобильных приложений под Android и iOS. Исследователи обнаружили, что из 27 227 приложений для Android и 1275 приложений для iOS, использующих для организации бэкэнда системы базы данных Firebase, 3046 приложений были уязвимы, а 2271 и вовсе хранили данные в незащищенных базах данных, доступ к которым мог получить буквально любой желающий. Платформа Firebase, c 2014 года принадлежащая Google, работает по модели DBAAS (база данных как услуга), предоставляя разработчикам мобильных приложений бэкенд для хранения и синхронизации данных между несколькими клиентами. Наиболее уязвимыми оказались приложения для Android, использующие данную платформу, которых оказалось 2446 против 600 для iOS. 975 из них оказались популярными среди пользователей. 62% всех разработчиков программного обеспечения имеют по крайней мере одно уязвимое приложение для мобильных устройств.
Что оказалось доступно злоумышленникам? Всего в уязвимых приложениях (более 100 млн записей в 113 гигабайт данных), по оценкам исследователей, скомпрометировано 2,6 млн идентификаторов пользователей и паролей в текстовом формате, 25 млн хранимых записей местоположения GPS, 50 000 записей о финансовых транзакциях и данные более 4,5 млн аккаунтов в социальных сетях и корпоративных базах данных. Легкой добычей злоумышленников среди прочего могут стать 4 млн записей PHI (Protect Health Information, защищенные данные о здоровье), содержащих личные чаты и записи рецептов. Затронутые в отчете Android-приложения были загружены более чем 620 млн раз из магазина Google Play, что делает разработчиков приложений наиболее успешными распространителями уязвимого программного обеспечения.
Насколько легко любому человеку получить доступ к этим личным данным? Согласно отчету, уязвимые серверы Firebase не защищены брандмауэрами или системами аутентификации. Чтобы получить доступ к этим незащищенным базам данных, «хакеру» просто нужно было бы использовать команду «/.json» с пустым именем базы данных в конце имени хоста (например, «https://appname.firebaseio.com/ .json»).
Короли утечек
Вдогонку Appthority обнародовали рейтинг риска для информационной безопасности корпораций тех или иных популярных у пользователей приложений, в котором тройка лидеров и вовсе поражает — WhatsApp, Facebook Messenger, Telegram для Android и WhatsApp Messenger, Facebook Messenger и Waze для iOS признаны самыми опасными мобильными приложениями по состоянию на конец апреля 2018 года. Рейтинг составлялся на основе CVSS (Common Common Vulnerability Scoring System), основанный на оценке базовых метрик как уязвимость и их потенциальный вред, классифицируя по каждому типу риска по отдельности.
Помимо рейтинга самых опасных приложений Appthority также представили черный список мобильных приложений по версии служб безопасности компаний. Некогда популярная и эффективная концепция BYOD (Bring your own device), согласно которой корпорации поощряли использование сотрудниками личных мобильных устройств для доступа к актуальной корпоративной информации на встречах и презентациях, ныне стала головной болью специалистов в области информационной безопасности. Когда одни приложения осуществляют вредоносную активность, вторые создают опасные утечки информации, а третьи запрашивают у пользователей слишком много прав, трудно определить, что из всего этого безопасно и не нарушает корпоративные политики безопасности.
Самые «популярные» категории приложений из черного списка составляют сервисы для обмена сообщениями, социальные сети и приложения для знакомств. Для Android это: Facebook Messenger, Wickr Me и WhatsApp Messenger; для iOS: Facebook Messenger, WhatsApp Messenger и Tinder. В список попали приложения, которые были замечены за различной подозрительной активностью: отправлением адресной книги, SMS-сообщений и даже отключением используемого по умолчанию HTTPS-шифрования. Помимо этого, ряд приложений для iOS был уличен в подозрительных отправках геолокации и имени устройства, а также в использовании ныне запрещенной в AppStore технологии JSPatch для обновления версий ПО.
Лотерея персональных данных
MyPersonality — так называется приложение для викторины, созданное исследователями Кембриджского университета. В викторине «поучаствовали» 6 млн пользователей Facebook, более половины из которых предоставили свои персональные данные. Вместе с исходным кодом приложения на GitHub в течение 4 лет в общем доступе находились и учетные данные для доступа к персональным данным участников конкурса. Несмотря на то, Facebook объявил настоящую охоту за приложениями, нарушающими политику конфиденциальности, этот инцидент стал еще одной черной меткой для социальной сети, которая неоднократно обвинялась в халатном отношении к пользовательским данным.
Существование уязвимостей в программах и даже баз данных с открытым доступом к персональным данным не значит, что хакеры ими обязательно воспользовались. Однако, отправляя чувствительную информацию, участвуя в викторинах и уж тем более экспериментируя с неизвестными программами, помните, что есть вероятность потерять важные данные. Использование очередного приложения становится в полной мере лотереей, проигрыш в которой означает потерю вашей конфиденциальности, а вероятность выиграть составит 1 к 14 млн.