Apple прекара години в изграждане на имидж на компания, която Това поставя поверителността пред почти всичко останало.особено в сравнение с други големи технологични компании. Въпреки това, дори строгият контрол на App Store не предотвратява проникването на приложения със сериозни пропуски в сигурността, които в крайна сметка разкриват данните на потребителите.
Скорошно разследване на киберсигурността разкри проблем, засягащ Десетки приложения, достъпни за iPhone и iPadТвърди се, че тези инструменти, много от които много популярни, изтичат чувствителна потребителска информация без тяхно знание: от имена и имейли до пълна история на лични разговори.
Работата се ръководи от Лаборатория за изследвания в областта на сигурността CovertLabsкоято стартира специален проект за проследяване на тези течове. Инициативата е обявена под името Firehound, хранилище, което сканира, локализира и индексира приложения, които разкриват лични данни чрез облачни услуги или лошо защитени бази данни.
Според първите публикувани резултати, Firehound е идентифицирал близо 200 приложения за iOS с недостатъци от този вид. Към момента на публикуване на информацията, 196 от 198-те анализирани приложения са изтичали потребителски данни по един или друг начин, което дава представа за мащаба на проблема.
Проектът се разпространява предимно чрез социалните медии, където различни изследователи в областта на сигурността споделят примери и данни. Един от най-активните участници, известен в X (бивш Twitter) като @Харис 0нтвърди, че е открил пробиви в сигурността, които правят огромни бази данни достъпни за всеки с достатъчно технически познания, за да ги търси.
Firehound: Ето как работи системата за проследяване на течове в App Store
Firehound се представя като един вид база данни с уязвими приложенияЦелта му е да идентифицира приложения, които неправилно обработват потребителска информация, било защото използват облачни системи за съхранение без подходящи мерки за сигурност, или защото разкриват вътрешни файлове, които би трябвало да останат напълно поверителни.
Хранилището предлага безплатен достъп до някои от резултатите на своите анализи, но ограничава най-чувствителните детайли. За да видите по-конкретна информация за течовете, е необходимо да се регистрирате в платформата, нещо, което отговорните лица оправдават като начин за за да се предотврати използването на тези недостатъци от когото и да било докато работят по прегледа и маскирането на най-чувствителните данни.
Според тях някои от докладите съдържат директни пътища към открити бази данни, набори от съобщения или имейл списъци, които, попаднали в неправилни ръце, биха могли да бъдат използвани за злонамерени кампании. фишинг, изнудване или кражба на самоличностСледователно, Firehound показва публично само частична и обща информация за всяко засегнато приложение.
Самият @Harris0n посочва, че в някои случаи, Всички съобщения, изпратени от потребителите чрез определени приложения, се съхраняват без защита.С други думи, всеки, който знае къде да търси, може да прочете цели разговори, които потребителите са задали като поверителни, също свързани с данни като имейл адреса или дори телефонния им номер.
Тази ситуация подчертава слабост, която е известна от години: въпреки че Apple преглежда приложенията, преди да ги публикува, Не винаги е в състояние да открие несигурни конфигурации на външни сървъри които приложенията използват за съхраняване на информация. И именно там се случват повечето от тези течове.
Близо 200 iOS приложения с разкрити лични данни
Служители на Firehound обясняват, че досега са открили около 200 iOS приложения с проблеми със сигурносттаТова не са малки, непознати проекти, а инструменти със значителен брой изтегляния, много от които са посветени на изкуствения интелект и облачните услуги.
В социалните мрежи един от участващите изследователи посочи, че както се очакваше, Най-засегнатите приложения са тези, свързани с услуги, свързани с изкуствен интелектТези приложения обикновено обработват големи обеми данни, тъй като съхраняват разговори, заявки, корекции и други видове съдържание, което потребителите споделят, очаквайки то да остане поверително.
Един от най-ярките примери, цитирани в проекта, е приложението Чат и питане с изкуствен интелектСпоред данните, събрани от Firehound, това приложение би имало над 406 милиона записа са разкритиТази информация се отнася до повече от 18 милиона потребители. Тя включва съобщения, заявки и други данни, които са били съхранявани без подходящи мерки за сигурност.
Проблемът, подчертават изследователите, не е само в обема на информацията, но и в качеството и чувствителността на тези данни. Не говорим за прости технически идентификатори, а за пълни разговори, свързани с имейл акаунти и телефонни номераТова позволява всяка история на чата да бъде свързана с конкретен човек сравнително лесно.
В този сценарий, нападателят би могъл не само да чете лични съобщения, но и свържете тези данни с друга информация, достъпна в интернет да профилира жертви, да насочва персонализирани измами или дори да генерира изнудване, ако открие особено чувствително съдържание в изтеклите разговори.
Особено чувствителни данни: психично здраве, емоции и медицински консултации
Един от аспектите, които най-много тревожат изследователите, е видът изтичащо съдържание. Много хора използват приложения, базирани на изкуствен интелект, за да... да говорим за емоционални проблеми, психично здраве, проблеми във взаимоотношенията или дори медицински въпросиТова са въпроси, които по своето естество трябва да се третират с максимална конфиденциалност.
Ако тези обмени се съхраняват на неправилно конфигурирани сървъри и освен това са свързани с информация за контакт, като например имейл или мобилен номерПоверителността на потребителите е сериозно компрометирана. Най-личните детайли от живота им могат да попаднат в ръцете на трети страни, с непредсказуеми последици.
Изследователят @Harris0n даде точно този пример: хора, които разчитат на приложение с изкуствен интелект, за да изразят мнението си тревожност, депресия, семейни проблеми или медицински симптомиЦелият този материал ще се съхранява без достатъчна защита, чакайки някой да попадне на изложената база данни и да реши да се възползва от нея.
Този тип изтичане на информация не само представлява риск за киберсигурността, но и социален и психологически проблем. Знаейки, че вашата В интернет може да се разпространяват по-интимни разговори Това може да породи недоверие към технологиите, страх от търсене на помощ или използване на дигитални услуги за поддръжка в деликатни моменти.
От европейска гледна точка, тази ситуация също попада под обхвата на регулаторното съответствие. Общият регламент относно защитата на данните (GDPR) изисква от компаниите да прилагат мерки за сигурност, подходящи за нивото на рискТова е нещо, което е трудно постижимо, когато дадено приложение прави базите си данни публично достъпни чрез интернет.
Какви видове приложения изтичат информация и защо се случва това?
Списъкът на Firehound показва, че проблемът не е ограничен само до един сектор. Сред засегнатите приложения са... инструменти за забавление, образователни платформи, здравни услуги и приложения за професионален дизайн или продуктивност. С други думи, това е междусекторно явление, което засяга няколко ниши в екосистемата на App Store.
Повечето от тези грешки имат общото, че приложенията използват неправилно конфигурирани бази данни или системи за съхранение в облакВ много случаи разработчиците използват външни услуги за съхраняване на информация (като история на чатове, потребителски профили или споделени файлове) и не активират правилно опциите за удостоверяване или криптиране.
Практическият резултат е, че тези бази данни остават достъпно без необходимост от разширени идентификационни данниПонякога тези ресурси дори са незащитени. Всеки, който знае адреса или извършва определени технически търсения, може да ги намери, изтегли или разгледа сравнително лесно.
Друг често срещан проблем е използването на ключове за достъп, вградени в кода на приложениетоFirehound също помага за откриването на това. Ако атакуващ анализира кода и намери тези идентификационни данни, той може да ги използва, за да се свърже директно с облачната услуга, използвана от приложението, и да извлече всички данни, съхранявани там.
Този тип грешка обикновено е свързана с лоши практики за разработка и липса на одити за сигурностТова е по-вероятно да се дължи на злонамерено намерение от страна на разработчиците на приложенията. За потребителя обаче последствията са същите: личната му информация се разкрива без ясно уведомление или изрично съгласие.
Това не се случва само в App Store, но и пряко влияе на имиджа на Apple.
Служители на Firehound настояват, че тези видове повреди Не е ексклузивно за магазина на AppleВсъщност, много подобни проблеми са открити от години в Google Play Store и други софтуерни каталози. Винаги, когато дадено приложение разчита на лошо защитени облачни услуги, съществува риск от нарушения на данните.
Въпреки това, фактът, че тези уязвимости се появяват в App Store, има специално значение, защото Apple отдавна твърди, че... Затворената и наблюдавана екосистема е по-безопасна отколкото конкурентите му. Всеки път, когато възникне подобен случай, се отваря дебатът за това до каква степен този предварителен контрол е достатъчен, за да защити наистина личната информация на потребителите.
Освен това в Европа фокусът върху този тип инциденти е по-голям поради регулаторния натиск. Органите за защита на данните в различни страни, включително Испания, могат да изискват обяснения както от разработчиците, така и в някои случаи от основните платформи, които... Засегнатите приложения са разпространени сред милиони хора..
Apple, от своя страна, обикновено реагира, като премахва от магазина приложенията, за които е доказано, че нарушават политиките им за поверителност или представляват явен риск. Цикълът между публикуването на приложение, откриването на проблема и евентуалното му премахване обаче не е еднозначен. Може да е достатъчно дълго, за да са били копирани данните. от трети страни.
В крайна сметка, изследването на Firehound ни напомня, че дори големите технологични компании да засилят процесите си на преглед, Течовете могат да се появят в почти всеки каталог с приложенияНай-слабото звено често е начинът, по който разработчиците управляват сървърите, където се съхранява информацията, област, върху която Apple и други гиганти имат по-малък пряк контрол.
Целият този случай служи като зов за събуждане на потребителите и разработчиците: от една страна, препоръчително е Помислете два пъти какви данни споделяме с приложения или функции на трети страни, като например Функция „Карта на приятелите в Instagram“Особено тези приложения, които използват изкуствен интелект и съхраняват големи обеми лично съдържание; от друга страна, ясно е, че сигурността не се изчерпва с преминаване през филтър на App Store, а изисква отговорно и непрекъснато управление на инфраструктурата, където се съхраняват данните. Комбинацията от независими проекти като Firehound, строги регулации в Европа и по-висока култура на поверителност може да окаже решаващо влияние върху предотвратяването на повторен достъп до милиони записи за всеки.
