Компания Appthority, занимающаяся вопросами безопасности мобильных устройств в корпоративной среде, заявила, что порядка 700 приложений в корпоративной мобильной среде, включая более 170, которые размещены в официальных магазинах приложений, могут быть подвержены риску шпионажа из-за уязвимости Eavesdropper. Об этом сообщает TechNewsWorld.

Компания рассказала, что уязвимые приложения для Android-устройств были загружены около 180 миллионов раз.

Согласно Appthority, Eavesdropper является результатом того, что разработчики “жестко” кодируют учетные данные в мобильных приложениях, которые используют Twilio Rest API или SDK. Это противоречит практике, которую Twilio рекомендует в своей собственной документации, и Twilio уже обратилась к сообществу разработчиков для работы по обеспечению безопасности учетных записей.

Appthority впервые обнаружила уязвимость еще в апреле.

Сообщается, что уязвимость предоставляет огромное количество конфиденциальных данных, включая записи звонков, минуты вызовов, сделанных на мобильных устройствах, и минуты звуковых записей звонков, а также содержание текстовых сообщений SMS и MMS.

Неверное кодирование

Уязвимость Eavesdropper не ограничивается приложениями, созданными с использованием Twilio Rest API или SDK.

«Основная проблема — это лень разработчика, и это не такое уж большое открытие», — сказал Стив Блум, главный аналитик Tellus Venture Associates.

«С приложениями, разрабатываемыми одним человеком или небольшой командой, нет обычных проверок контроля качества, — добавил Блум.

К сожалению, слишком часто вопросы безопасности рассматривается как "места возникновения затрат", а конфиденциальность рассматривается как генератор доходов для компании, которая разрабатывает приложение. Поэтому приложения часто не защищены, а конфиденциальности не существует — чтобы минимизировать затраты и максимизировать доход.

Единственный способ борьбы с этими нарушениями — фактически заплатить полную цену за использование приложений и отклонение приложений, поддерживающих рекламу.

Кроме того, уязвимость не устраняется после того, как затронутое приложение было удалено с устройства пользователя. Вместо этого данные приложения остаются открытыми.

Некоторые пользователи могут приобретать телефоны с предварительно загруженными приложениями, которые могут угрожать их личной информации.

«Twilio может заставить разработчиков обновить свой код приложения путем аннулирования всех учетных данных доступа к их уязвимым API-интерфейсам услуг», — отмечают в TechNewsWorld.

Похоже, что у пользователей мало вариантов, и для потребителей может быть трудно даже увидеть уязвимость приложений, затронутых Eavesdropper.

Отмечается, что это проблема возникла в немалой степени, потому что разработчики были неаккуратными. Кроме того, отчасти это потребительская проблема, ведь многие люди предпочитают простоту использования безопасности мобильных устройств.

«Потребители по-прежнему слишком небрежно относятся к своей конфиденциальности и предпочитают не платить», — отметили в Recon Analytics.