8 из 12 приложений для Android уязвимы к хищению данных

Исследователи из Брауншвейгского технического университета (TU Braunschweig) Доминик Шюрман (Dominik Schürmann) и Ларс Вольф (Lars Wolf) выступили на конференции по безопасности GI Sicherheit 2016, где представили свой доклад об уязвимостях в реализации приложений для Android. По словам исследователей, 8 из 12 проверенных программ позволяют злоумышленнику заполучить доступ к потенциально важным данным пользователей.

Большое количество email-клиентов и мессенджеров для Android используют Intent API для передачи изображений, видео и документов. Вместо отправки самого файла, приложения используют API для отправки ссылок на файлы, которые ведут на файловое хранилище в облаке. Исследователи провели несколько экспериментов и в некоторых случаях заполучили доступ к подобным файлам.

В исследовании говорится, что кроме медиа контента, приложения могут хранить в облаке другую важную информацию, как, например, личные сообщения пользователей.

Исследователям удалось успешно заполучить доступ к зашифрованной базе данных и ключу мессенджера Threema. Также уязвимости были подвержены Signal и Telegram.

В зависимости от функционала приложения, злоумышленник может получить доступ к важным данным или повысить свои привилегии на уязвимом устройстве.

С результатами исследования можно ознакомиться здесь.