Опасный дейтинг: эксперты назвали самые незащищенные приложения для знакомств
Компания «Ростелеком-Солар» (дочка «Ростелекома»), специализирующаяся на кибербезопасности, исследовала наиболее популярные среди россиян приложения для знакомств с точки зрения защищенности персональных данных пользователей.
Эксперты проверили 12 самых популярных у российской аудитории дейтинговых приложений - Tinder, Badoo, LovePlanet, Mamba, «Фотострана», Topface, «ДругВокруг», MyFriends, Galaxy, «Знакомства@mail.ru», Teamo и Hitwe. В выборку попали приложения с числом установок более 1 млн, которые также занимают высокие позиции в рейтинге сайтов знакомств RatingDatings.ru.
Компания тестировала две версии приложений – для устройств на Android и на iOS. Безопасность кода специалисты проверяли с помощью собственного продукта для анализа защищенности приложений Solar appScreener. Это решение использует методы статического, динамического и интерактивного анализа, когда приложение работает и когда оно закрыто. Итоговый балл приложению присуждался на основе отчетов, которые сформировал сервис: в них указывалась общая оценка защищенности приложения, список уязвимостей и ошибок.
На основе 500 последних сканирований различных приложений Solar appScreener рассчитало средний уровень защищенности приложений в App Store и Google Play. Он составил 2,2 балла из пяти.
На iOS опасно
Среди iOS-версий исследованных приложений нет ни одного, удовлетворяющего хотя бы среднему по отрасли уровню защищенности.
Приложения Hitwe, LovePlanet и Galaxy получили 1, 0,7 и 0,6 балла соответственно. Это лучшие показатели среди всех исследованных дейтинговых приложений для iOS.
Версия TopFace для iOS включает множество уязвимостей – его общий уровень Solar appScreener оценил в 0,0 балла. Популярные приложения Tinder и Badoo, которые входят в топ-5 мобильных дейтинг-приложений по тратам пользователей, набрали по 0,5 балла.
Исследование показало, что все iOS-версии приложений содержат слабый алгоритм хеширования, что может привести к потере конфиденциальных данных пользователя. А более чем в половине из них заложены слабые алгоритмы шифрования: злоумышленник может взломать аккаунт пользователя методом полного перебора паролей.
Наиболее частыми «спутниками» iOS-приложений знакомств являются такие уязвимости среднего уровня критичности, как использование NSLog (возможность осуществить атаку на приложение) и небезопасная рефлексия (возможность применить вредоносный код или использовать недокументированные возможности приложения). В то же время исследователи отмечают, что эти уязвимости в некоторой степени компенсируются более высокой защищенностью самой iOS: Apple жестко ограничивает доступ к платформе сторонних разработчиков. Например, чтобы разработать приложение под iOS, надо пройти множество процедур и проверок Apple.
Android надежнее
Android-версии проанализированных мобильных сервисов защищены лучше, чем их iOS-аналоги, говорится в отчете. Самыми защищенными Android-версиями приложений знакомств оказались Teamo и «Фотострана», их уровень защищенности составил 3,2 балла. А наиболее уязвимыми приложениями стали MyFriends (1,9 балла), TopFace (2 балла) и LovePlanet (2,1 балла). Приложения для Android Badoo и Tinder в целом соответствуют среднему по рынку уровню защищенности (2,9 и 2,6 балла из пяти).
Тем не менее, у 10 из 12 приложений знакомств для смартфонов на базе Android ключ шифрования задан в исходном коде, а это критичная уязвимость, которая может привести к компрометации всех данных, содержащихся в программе, говорится в отчете. Кроме того, все 12 приложений под Android допускают внутреннюю утечку ценной информации и возможность обхода проверок безопасности Security Manager, из-за чего злоумышленник может вставить в приложение свой код.
[[{«fid»:«308553»,«view_mode»:«default»,«fields»:{«format»:«default»,«alignment»:«»,«field_file_image_alt_text[und][0][value]»:false,«field_file_image_title_text[und][0][value]»:false,«external_url»:««},«type»:«media»,«field_deltas»:{«1»:{«format»:«default»,«alignment»:«»,«field_file_image_alt_text[und][0][value]»:false,«field_file_image_title_text[und][0][value]»:false,«external_url»:««}},«attributes»:{«class»:«media-element file-default»,«data-delta»:«1«}}]]
Критичная уязвимость
Самую серьезную проблему специалисты обнаружили в приложении «Знакомства@mail.ru» для Android. Это приложение содержит уязвимость, входящую в международный рейтинг 2016 года наиболее критичных уязвимостей OWASP Mobile Top 10. При этом сути уязвимости авторы исследования не раскрывают.
Благодаря этой уязвимости хакер может получить логин и пароль пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио-контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Этот контент может стать компроматом на любого человека, по той или иной причине заинтересовавшего злоумышленника, говорится в отчете. Эту информацию могут выложить в сеть, как было в случае со скандально известным сайтом знакомств Ashley Madison, предупреждают авторы исследования. В 2015 году группировка Impact Team взломала канадский сайт знакомств для женатых людей Ashley Madison и выложила в открытый доступ данные более 37 млн пользователей из 40 стран мира, исходный код сайта, а также внутреннюю переписку руководства компании. Спустя два года Ashley Madison выплатил жертвам взлома $11,2 млн компенсации: многие из них лишились семьи, работы и столкнулись с новыми вымогательствами и шантажом новых мошенников. Часто пользователи ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и, например, для доступа в онлайн-банк: это создает уже финансовые риски, предупреждают в «Ростелеком-Солар».
Сервис «Знакомства@mail.ru» принадлежит ЗАО «Мамба». Пресс-служба Mail.ru Group адресовала вопросы об уязвимостях сервиса туда. «Мы разрабатываем приложение, а публикует его под своим брендом Mail.Ru», — рассказал Forbes исполнительный директор Mamba Ярослав Сергеев. Вероятно, уязвимость касается системы авторизации Mail.Ru, потому что это единственное, чем «Знакомства» отличаются от собственно сервиса Mamba, отметил Сергеев.
Эксперты назвали самый небезопасный пароль. И это не 12345
Уже после публикации заметки исполнительный директор Mamba Ярослав Сергеев сообщил Forbes, что специалисты Mamba и Mail.ru Group «провели тщательную проверку» сведений в отчете «Ростелеком-Солар» и пришли к выводу, что исследование строится «на сомнительной основе и спорных выводах». «Приведенные в детальном отчете якобы «критические» уязвимости нашего приложения на самом деле таковыми не являются, что очевидно любому техническому специалисту», — заявил Сергеев. В пресс-службе «Ростелеком-Солар» на это ответили, что «при финализации отчета» компания провела дополнительную верификацию результатов, подтвердившую наличие уязвимости. «Примечательно также, что описанную уязвимость содержат лишь два приложения из 12 рассмотренных – Mamba и «Знакомства@mail.ru», — добавили в пресс-службе «Ростелеком-Солар». В компании пояснили, что уязвимость была обнаружена в стороннем коде (библиотеке), который обычно целиком встраивается в код приложения для реализации определенной функции. «Это общепринятая практика, однако такие библиотеки часто содержат уязвимости, поэтому разработчикам нужно уделять большое внимание контролю их защищенности», — подчеркнули в «Ростелеком-Солар».