Проведенный в Check Point анализ 23 Android-приложений показал, что они ставят под угрозу данные пользователей из-за тривиальных ошибок, допущенных разработчиками при их привязке к сторонним облачным сервисам. На долю этих недавно появившихся в Google Play программ приходится более 100 млн загрузок.

Из наиболее распространенных недочетов исследователи отметили отсутствие парольной защиты базы данных реального времени на стороне сервера, а также вшитые в код ключи и токены для доступа к облачному хранилищу или сервису пуш-уведомлений.

В базах данных, не защищенных от неавторизованного доступа, была найдена следующая информация:

• имена пользователей, незашифрованные пароли, email-адреса, номера телефонов;

• фото профилей, сообщения в чатах, в том числе приватных, состав групп;

• истории браузеров;

• ID устройств, идентификаторы Facebook, псевдонимы;

• СМС-сообщения, email-сообщения, ПИН-коды;

• данные о местоположении пользователей, скриншоты;

• биллинги, накладные, рецепты на лекарства; созданные пользователем документы, аудиозаписи, фотоальбомы;

• содержимое журналов событий, резервные копии, данные сайтов, тестовые версии приложений;

• заявки на снятие подписки, на получение пуш-уведомлений.

В отчете Check Point упомянуты только пять названий проанализированных Android-приложений: Logo Maker, Astro Guru, T’Leva, Screen Recorder и iFax.

Источник: anti-malware.ru