Платформа Стингрей проанализировала 1870 мобильных приложений для Android в популярных отечественных сторах.
В результате были найдены тысячи конфиденциальных ключей, которые позволяют злоумышленникам получить доступ к управлению приложением. Завладев таким «секретом», хакеры могут получить управление над самим приложением и использовать его против его же владельцев. Например, разослать фишинговые ссылки пользователям.
Целью исследования было оценить масштаб хранения чувствительных данных в открытом доступе в российских мобильных приложениях. Анализ провели в течение 2024 года. В общей сложности был обнаружен 3181 секрет.
- Есть секреты, с помощью которых можно серьезно нарушить работу компаний. Это уже является проблемой. Секреты от сторонних сервисов хранятся в открытом виде и получить их злоумышленникам ничего не стоит.
Используя их, к примеру, можно отправить PUSH-уведомления всем пользователям, допустим, рекламу сервиса-конкурента или потратить бюджет компании, если секрет дает возможность обращаться к платному сервису. Счет придет в конце месяца. Если есть ключ от базы данных, и она открыта на запись, любой человек может записать что-то в публичную базу компании, а это уже серьезный риск штрафов от РКН, которые стали существенно выше с декабря 2024.
Исследование российского вендора полностью подтверждает результаты опубликованного недавно исследования компании Cybernews мобильных приложений на базе iOS в США. Согласно ему, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.
В частности, сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей.
Стоит отметить, что на территории Российской Федерации мобильные приложения на платформе iOS имеют одну существенную особенность: из-за санкций вносить в них исправления при обнаружении уязвимостей сложнее, чем в случае с приложениями на Android.
В результате были найдены тысячи конфиденциальных ключей, которые позволяют злоумышленникам получить доступ к управлению приложением. Завладев таким «секретом», хакеры могут получить управление над самим приложением и использовать его против его же владельцев. Например, разослать фишинговые ссылки пользователям.
Целью исследования было оценить масштаб хранения чувствительных данных в открытом доступе в российских мобильных приложениях. Анализ провели в течение 2024 года. В общей сложности был обнаружен 3181 секрет.
- Есть секреты, с помощью которых можно серьезно нарушить работу компаний. Это уже является проблемой. Секреты от сторонних сервисов хранятся в открытом виде и получить их злоумышленникам ничего не стоит.
Используя их, к примеру, можно отправить PUSH-уведомления всем пользователям, допустим, рекламу сервиса-конкурента или потратить бюджет компании, если секрет дает возможность обращаться к платному сервису. Счет придет в конце месяца. Если есть ключ от базы данных, и она открыта на запись, любой человек может записать что-то в публичную базу компании, а это уже серьезный риск штрафов от РКН, которые стали существенно выше с декабря 2024.
Исследование российского вендора полностью подтверждает результаты опубликованного недавно исследования компании Cybernews мобильных приложений на базе iOS в США. Согласно ему, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.
В частности, сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей.
Стоит отметить, что на территории Российской Федерации мобильные приложения на платформе iOS имеют одну существенную особенность: из-за санкций вносить в них исправления при обнаружении уязвимостей сложнее, чем в случае с приложениями на Android.
