Обнаружены серьезные уязвимости в тысячах приложений для iPhone, одобренных Apple. Исследование, проведенное компанией Cybernews, выявило, что около 8% из более чем 156 000 анализированных приложений содержат скрытые ошибки безопасности, способные поставить под угрозу личные данные пользователей, облачное хранилище и платежные системы.
Ключевые выводы исследования
Исследователи обнаружили, что многие приложения хранят внутри конфиденциальную информацию, такую как пароли, API-ключи и токены доступа. Разработчики часто вставляют эти секреты прямо в код приложений, что значительно облегчает злоумышленникам их обнаружение и использование. По словам эксперта Aras Nazarovas из Cybernews, такие практики делают взлом гораздо проще, чем большинство пользователей предполагает.
Что такое «жестко зашитые секреты» и почему это опасно
Жестко зашитая секретная информация — это чувствительные данные, встроенные прямо в приложение без дополнительной защиты. Аналогия — написание пин-кода к банковской карте на обратной стороне карты. После загрузки приложения злоумышленники могут легко просмотреть его файлы и извлечь эти секреты. Даже без специализированных инструментов, обычный пользователь или хакер могут выявить такие уязвимости. Об этом предупреждают как государственные органы, включая Агентство по кибербезопасности и инфраструктуре, так и ФБР, однако практика их игнорирования остается масштабной.
Риск утечки данных через облачные хранилища
Исследование выявило, что более 78 000 приложений содержат прямые ссылки на облачные хранилища, которые используют для хранения файлов — фотографий, документов, чеков и резервных копий. В некоторых случаях доступ к этим хранилищам был открыт без пароля. В результате, злоумышленники могли просматривать и скачивать личную информацию, включая данные пользователей, регистрационные сведения и логи приложений.
Уязвимости в базе данных Firebase и последствия для безопасности
Многие приложения используют Google Firebase для хранения пользовательских данных. В результате анализа было обнаружено более 51 000 скрытых Firebase-ссылок, при этом более 2200 из них оказались незащищенными без какой-либо аутентификации. Это позволяло злоумышленникам просматривать всю базу данных как публичный сайт. Среди утекших секретов оказались ключи для платежных систем, такие как Stripe, что могло привести к мошенническим возвратам, переводам средств или получению доступа к платежной информации. Также были найдены логин-ключи, позволяющие имитировать пользователей или захватывать учетные записи.
Особенно опасные случаи: утечка данных в AI-приложениях
Особую тревогу вызывают приложения, связанные с искусственным интеллектом. Исследование показало, что в таких программах, например в Chat & Ask AI от Codeway, было обнаружено утечку истории переписок, номеров телефонов и адресов электронной почты миллионов пользователей. Также были выявлены сообщения, идентификаторы пользователей и access-токены в других приложениях. Эти данные хранятся в закрытых репозиториях, что затрудняет их публичное распространение, однако риск остается высоким.
Почему даже проверенные приложения могут быть уязвимы
Хотя Apple тщательно проверяет приложения перед размещением в App Store, процесс не включает сканирование кода на наличие скрытых секретов. Если приложение ведет себя нормально во время проверки, оно может пройти модерацию даже при наличии внутри уязвимостей. Удаление leaked-секретов — сложный процесс, требующий ревокации старых ключей, их замены и повторной сборки приложений, что может привести к задержкам и нарушениям работы. Несмотря на обещания Apple о быстрой проверке обновлений, некоторые версии остаются уязвимыми в течение недель.
Практические советы по защите личных данных
Пользователи не могут самостоятельно проверить наличие скрытых секретов в приложениях, так как Apple не предоставляет таких инструментов. Однако можно снизить риски, соблюдая простые меры:
- Выбирайте приложения от проверенных разработчиков с хорошей историей обновлений;
- Ограничивайте доступ приложений к личной информации — местоположению, контактам, фото и микрофону, удаляя лишние разрешения в настройках.
- Удаляйте приложения, которые давно не использовали — это уменьшит количество возможных источников утечек.
Рекомендации по повышению безопасности
Избегайте ввода чувствительных данных, таких как адреса, платежные реквизиты или личные переписки, в приложения, вызывающие подозрения. Используйте менеджеры паролей для создания и хранения уникальных, надежных паролей, чтобы защитить все аккаунты. Также проверяйте, не были ли ваши электронные адреса скомпрометированы в прошлых утечках, и при необходимости меняйте пароли. Для дополнительной защиты рекомендуется использовать сервисы по удалению личной информации из интернета, что усложняет злоумышленникам доступ к личным данным и снижает риск мошенничества.
Что делать при подозрениях на утечку данных
Обратите внимание на неожиданные письма о сбросе паролей, уведомления о входе или платежные подтверждения — они могут свидетельствовать о злоупотреблении вашими данными. Если используете AI-приложения, воздержитесь от обмена конфиденциальной информацией до устранения уязвимостей. В целом, несмотря на меры защиты, полученные результаты исследований подчеркивают необходимость быть бдительными и ограничивать объем личных данных, которыми делитесь через приложения.
Ярослав Конощук
Начинал в 2006-м редактором на ленте новостей сайта E-NEWS. С 2012-го перешел работать «в поля». Парламентский корреспондент трех созывов. Сотрудничал с различными интернет-изданиями и информационными агентствами.