Небезопасные SDK ставят под угрозу данные пользователей приложений

Небезопасные SDK ставят под угрозу данные пользователей приложений

Некоторые из приложений передают незашифрованные пользовательские данные по протоколу HTTP.

image

Исследователи безопасности из «Лаборатории Касперского» обнаружили несколько популярных мобильных приложений, передающих в незашифрованном виде пользовательские данные из-за использования небезопасных рекламных комплектов для разработки ПО (Software Development Kit, SDK).

Реклама имеет решающее значение для многих online-сервисов и приложений. Простым способом интеграции рекламы в мобильные приложения является использование SDK. Инструменты способны собирать информацию пользователя для отображения релевантных и целевых объявлений, однако незащищенные SDK могут влиять на безопасность приложений, которые их используют.

Анализируя ряд популярных приложений для знакомств, исследователи обнаружили, что некоторые из них передают незашифрованные пользовательские данные по протоколу HTTP. HTTP менее безопасен, чем HTTPS, поскольку информация передается в не зашифрованом виде. Передавая пользовательские данные по HTTP для таргетированой рекламы, приложения потенциально могут подвергать информацию риску хищения, перехвата, атак типа «человек посередине» (MitM) и пр.

«Перехваченные данные могут быть изменены, и приложение будет показывать вредоносные объявления вместо легитимных. Затем пользователей могут обманом заставить загрузить вредоносное ПО», - отметили специалисты.

Проанализированные приложения передают информацию об имени, возрасте, гендерной группе, доходе пользователя, номере телефона, адресе электронной почты, а также сведения об устройстве и местоположении. Исследователи не раскрыли названия проанализированных приложений.

«Миллионы приложений включают сторонние SDK, передавая частные данные, которые можно легко перехватывать и модифицировать, приводя к заражению вредоносными программами», - отметили специалисты.

Согласно исследованиям «ЛК», по состоянию на январь теущего года, 63% процента мобильных приложений перешли с HTTP на HTTPS. Тем не менее, порядка 90% приложений по-прежнему используют HTTP в некоторых процессах и системах, и многие из них передают незашифрованную информацию.


Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале