Zdjęcia AP Photo / Julie Jacobson / TASS
Wysyłając poufnej i tym bardziej eksperymentowanie z nieznanymi programami, pamiętaj, że to loteria, przegrana w którym oznacza utratę prywatności
Ostatnie kilka lat było szczególnie bogate w zakrojone na szeroką skalę ataki cybernetyczne. Lista poszkodowanych swoimi nazwiskami przypomina elitarny klub: tam znalazły Uber, Equifax, Yahoo, Maersk, Parlament wielkiej Brytanii, a nawet Krajowy komitet partii Demokratycznej w USA.
Oliwy do ognia dolewają i rozpowszechnione programy typu ransomware, skumulowane straty od dystrybucji, który może wynieść do $121 mld Jednak zakrojone na szeroką skalę hakowania mogą transformacji — teraz pomaga hakerom uzyskać dostęp do danych z popularnych komunikatorów. Jak to się stało, że twórcy aplikacji czasami nawet nie starają się chronić dane użytkowników? I dlaczego lista najbardziej niebezpiecznych aplikacji, otwierali Telegram, WhatsApp i Facebook Messenger?
Najgorsze jest już za nami
Większość danych użytkownika, najprawdopodobniej już skradzione jeszcze rok temu, “uspokoić” autorzy raportu Appthority, analizując tysiące popularnych aplikacji dla systemu Android i iOS. Autorzy raportu stwierdzili, że mimo, że wiele aplikacji nie zawierają śladów złośliwego oprogramowania i rażących luk w zabezpieczeniach, wymieniają i zapisują dane na niezaufanych backend-serwerach, zapewniając dostęp do danych użytkownika dla wszystkich chętnych.
Eksperci mówią, że analizowali serwerowe połączenia 1000 aplikacji mobilnych, aby dowiedzieć się, czy są one podłączone do publicznych serwerów. Aby zapewnić bogate w funkcje, programiści często korzystają z systemów zarządzania bazami danych, w których wykryte luki w zabezpieczeniach, takich jak MongoDB, CouchDB, Hadoop, MySQL i ElasticSearch. Ostatni z nich służy do wyszukiwania i analizy danych i nie ma wbudowanego kontroli bezpieczeństwa i dostępu, a opiera się na zewnętrzną realizację tych funkcji bezpieczeństwa za pomocą wtyczki uwierzytelniania lub API do dostępu.
Autorzy raportu naliczyli ponad 21000 serwera ElasticSearch, które zostały udostępnione aplikacje mobilne, za pomocą nieprawidłowe procedury uwierzytelniania. Te niezabezpieczone serwery ElasticSearch zawierały ponad 43 terabajtów danych, w tym danych osobowych użytkownika, niezaszyfrowane dane logowania, dane lokalizacji, dane medyczne i inne. Dzięki ograniczeniu kręgu tylko do 39 aplikacji, eksperci Appthority oceniali wyciek przez nich w 163,5 Gb danych, lub ponad 280 mln użytkowników, co stanowi niezwykle cenny prezent dla hakerów i hurtowni danych w Dark Web.
Rok później: co się stanie dalej
Pomimo zeszłoroczną пессимистическую oceny, raport Appthority 2018 roku otworzył nowy horyzont “киберхалатности” twórców aplikacji. W swoim nowym raporcie eksperci Appthority analizowali już ponad 2,7 mln aplikacji mobilnych z systemem Android i iOS. Naukowcy odkryli, że z 27 227 aplikacji dla systemu Android i 1275 aplikacji dla iOS, wykorzystujących do organizacji zaplecza systemu bazy danych Firebase, 3046 aplikacji były narażone, a 2271 i w ogóle zachowywali dane w niezabezpieczonych bazach danych, do których dostęp można uzyskać dosłownie każdy. Platforma Firebase, c 2014 roku należąca do Google, działa według modelu DBAAS (baza danych jako usługa), dając programistom aplikacji mobilnych backendu do przechowywania i synchronizacji danych między wieloma klientami. Najbardziej narażone były aplikacji dla systemu Android, które także używają tej platformy, których okazało się 2446 vs 600 dla iOS. 975 z nich okazały się popularne wśród użytkowników. 62% wszystkich twórców oprogramowania mają co najmniej jedno podatnego aplikacja dla urządzeń mobilnych.
Co się okazało dostępne cyberprzestępcy? Zaledwie luk w aplikacjach (ponad 100 mln rekordów w 113 gigabajtów danych), według szacunków naukowców, iść na kompromis 2,6 mln identyfikatorów użytkowników i haseł w formacie tekstowym, 25 mln przechowywanych rekordów lokalizacji GPS, 50 000 rekordów finansowych transakcji i dane ponad 4,5 mln kont na portalach społecznościowych oraz firmowych bazach danych. Łatwym łupem hakerów między innymi mogą się 4 mln rekordów PHI (Protect Health Information chronione dane o zdrowie), zawierający osobiste rozmowy i nagrania receptur. Poruszone w raporcie Android-aplikacje zostały pobrane ponad 620 mln razy ze sklepu Google Play, co sprawia, że deweloperzy aplikacji najbardziej skuteczne promotorami podatnego oprogramowania.
Jak łatwo każdemu człowiekowi uzyskać dostęp do tych danych osobowych? Według raportu, dziurawych serwerów Firebase nie chronione przez firewall lub systemami uwierzytelniania. Aby uzyskać dostęp do tych bez zabezpieczenia baz danych, “haker” po prostu trzeba było by użyć polecenia “/.json” z pustą nazwą bazy danych na końcu nazwy hosta (na przykład, “https://appname.firebaseio.com/ .json”).
Królowie wycieków
Po Appthority opublikowało ocenę ryzyka dla bezpieczeństwa informacji korporacje tych lub innych popularnych wśród użytkowników aplikacji, w którym trójka liderów i wcale uderza — WhatsApp, Facebook Messenger, Telegram dla Androida i WhatsApp Messenger, Facebook Messenger i Waze dla iOS uznane za najbardziej niebezpieczne aplikacjami mobilnymi według stanu na koniec kwietnia 2018 roku. Ranking sporządzony na podstawie CVSS (Common Common Vulnerability Scoring System), oparty na ocenie podstawowych parametrów jak luka w zabezpieczeniach i ich potencjalne szkody, oszacowywa dla każdego rodzaju ryzyka osobno.
Oprócz rankingu najbardziej niebezpiecznych aplikacji Appthority także przedstawili czarna lista aplikacji mobilnych w wersji służb bezpieczeństwa firm. Niegdyś popularna i skuteczna koncepcja BYOD (Bring your own device), zgodnie z którym firmy zalecały używanie przez pracowników osobistych urządzeń mobilnych w celu uzyskania dostępu do aktualnych informacji korporacyjnych na spotkaniach i prezentacjach, teraz stała się bólem głowy, specjalistów w dziedzinie bezpieczeństwa informacji. Kiedy jedni aplikacje wykonują szkodliwe działania, drudzy tworzą niebezpieczne wycieku informacji, a jeszcze inni żądają od użytkownika zbyt wiele praw, trudno jest określić, co z tego bezpiecznie i nie narusza polityki bezpieczeństwa.
Najbardziej “popularne” kategorii aplikacji z czarnej listy stanowią usługi, wiadomości, sieci społecznościowe i aplikacje dla singli. Dla Androida to: Facebook Messenger, Wickr Me i WhatsApp Messenger; dla iOS: Facebook Messenger, WhatsApp Messenger i Tinder. Na listę trafiły aplikacji, które zostały zaobserwowane na różnych podejrzanej aktywności: przesyłką książki adresowej, SMS-ów, a nawet wyłączenia domyślnego HTTPS szyfrowania. Oprócz tego, szereg aplikacji dla iOS został wylosowany w podejrzanych dostaw lokalizacji i nazwy urządzenia, a także w obsłudze obecnie zabronione w AppStore technologii JSPatch do aktualizacji wersji OPROGRAMOWANIA.
Loteria danych osobowych
MyPersonality — tak nazywa się aplikacja do quizu, stworzony z badaczami z uniwersytetu w Cambridge. W quizie “uczestniczył” 6 mln użytkowników, Facebook, ponad połowa z nich przekazał swoje dane osobowe. Wraz z kodem źródłowym aplikacji na GitHub w ciągu 4 lat w udostępnianiu byli i dane logowania, aby uzyskać dostęp do danych osobowych uczestników konkursu. Mimo, Facebook ogłosił polowanie za aplikacjami, naruszenia polityki prywatności, incydent ten stał się jeszcze jedną czarną etykietą do sieci społecznej, która wielokrotnie обвинялась w халатном odniesieniu do danych użytkownika.
Istnienie luk w programach i nawet baz danych z otwartym dostępem do danych osobowych nie znaczy, że hakerzy nimi na pewno skorzystali. Jednak, wysyłając poufnej, udział w turniejach, a już tym bardziej eksperymentowanie z nieznanymi programami, pamiętaj, że istnieje prawdopodobieństwo utraty ważnych danych. Korzystanie z kolejnej aplikacji staje się w pełni loterią, przegrana w którym oznacza utratę prywatności, a prawdopodobieństwo wygranej wynosi 1 do 14 mln.
redakcja poleca
Śladami Google Docs: jak uniknąć wycieku dokumentów korporacyjnych