Аналитики выявили уязвимости в большинстве приложений для детей
Большинство приложений для детей и родителей оказались уязвимы для утечки личных данных и манипуляций с контентом, выяснили в AppSec Solutions после анализа защищенности 37 приложений. Наиболее распространенными уязвимостями оказались «хранение чувствительной информации в открытом виде», «недостаточная проверка среды выполнения» и «ошибки валидации данных». Последние, в частности, дают хакерам возможность получить доступ к любым экранам пользователя без его ведома, читать внутренние файлы и даже предлагать ребенку опасный контент
Большинство приложений для детей и родителей оказались уязвимы для утечки личных данных и манипуляций с контентом. К такому выводу пришли аналитики компании AppSec Solutions после анализа защищенности 37 приложений в категории «для детей и родителей» на базе платформы «Стингрей»: в выборку вошли обучающие языковые приложения, программы для тренировки чтения и логопедических занятий, детские мобильные игры, а также приложения родительского контроля. Результаты исследования есть в распоряжении Forbes.
Наиболее распространенными уязвимостями оказались «хранение чувствительной информации в открытом виде» (аналитики зафиксировали 134 случая), «недостаточная проверка среды выполнения» (66 проблем) и «ошибки валидации данных» (40 проблем), следует из результатов исследования. Именно эти три уязвимости в сочетании друг с другом могут привести, например, к тому, что любое приложение на устройстве может получить пароль пользователя. Это может произойти, если приложение хранит в открытом виде пароль пользователя и содержит проблему с чтением локальных файлов другим приложением, пояснили в компании.
Уязвимость, связанная с недостаточной проверкой среды выполнения, присутствует в 36 из 37 проверенных приложений, следует из результатов анализа. Это говорит о том, что приложение «не смотрит по сторонам», то есть не определяет среду, в которой работает, рассказал владелец продукта «Стингрей» компании AppSec Solutions Юрий Шабалин. По его словам, уязвимость для манипуляций с контентом создает ошибка валидации данных, которая была обнаружена в 22 приложениях. В этом случае хакеры смогут получить доступ к любым экранам пользователя без его ведома, «читать внутренние файлы и открывать произвольные адреса — в том числе «подсунуть» ребенку опасный контент», добавил Шабалин.
В начале августа «Лаборатория Касперского» сообщила, что обнаружила новый троян, целью которого были Android-устройства россиян. Троян, который получил название LianSpy, использовался для кибершпионажа, свою вредоносную деятельность он мог начать еще в середине 2021 года, но его обнаружили только этой весной, так как киберпреступники активно скрывают следы, отметили в компании. LianSpy мог попасть на телефон удаленно, используя уязвимости в программном обеспечении, или если сам аппарат физически оказывался в распоряжении злоумышленников, однако в «Лаборатории Касперского» не знают, как именно проходило заражение.