8 из 12 приложений для Android уязвимы к хищению данных
06.04.2016
Исследователи из Брауншвейгского технического университета (TU Braunschweig) Доминик Шюрман (Dominik Schurmann) и Ларс Вольф (Lars Wolf) выступили на конференции по безопасности GI Sicherheit 2016, где представили свой доклад об уязвимостях в реализации приложений для Android. По словам исследователей, 8 из 12 проверенных программ позволяют злоумышленнику заполучить доступ к потенциально важным данным пользователей.
Большое количество email-клиентов и мессенджеров для Android используют Intent API для передачи изображений, видео и документов. Вместо отправки самого файла, приложения используют API для отправки ссылок на файлы, которые ведут на файловое хранилище в облаке. Исследователи провели несколько экспериментов и в некоторых случаях заполучили доступ к подобным файлам.
В исследовании говорится, что кроме медиа контента, приложения могут хранить в облаке другую важную информацию, как, например, личные сообщения пользователей.
Исследователям удалось успешно заполучить доступ к зашифрованной базе данных и ключу мессенджера Threema. Также уязвимости были подвержены Signal и Telegram.
В зависимости от функционала приложения, злоумышленник может получить доступ к важным данным или повысить свои привилегии на уязвимом устройстве.
