Издание Cybernews провело исследование, результаты которого показали, что подавляющее большинство приложений, размещённых в App Store, содержат в своём коде скрытые данные. Речь идёт о ключах доступа к облачным сервисам, API и даже платёжным платформам. Это создаёт угрозу безопасности пользователей, поскольку злоумышленники могут воспользоваться уязвимостями и получить конфиденциальную информацию.
В ходе анализа 156 тыс. iOS-приложений выяснилось, что в среднем каждое из них содержит более пяти уязвимых секретных ключей. По меньшей мере одно нарушение обнаружено в 71% программ. Несмотря на то, что значительная часть этих ключей не представляет высокой угрозы, утечки могут привести к серьёзным последствиям.
Арнас Назаровас, специалист по кибербезопасности из Cybernews, подчеркнул, что многие разработчики iOS-приложений оставляют важные данные в коде без должной защиты. В результате личная информация пользователей, в том числе сведения о платежах и файлах в облачных хранилищах, может стать доступной для посторонних.
Исследование выявило серьёзные проблемы:
- обнаружено 83 тыс. уязвимых конечных точек облачных сервисов, из которых 836 не требуют авторизации. Это привело к утечке 406 ТБ данных;
- более 51 тыс. точек Firebase, при этом многие из них открыты для внешнего доступа;
- тысячи API-ключей от сервисов, среди которых Fabric, Live Branch и MobApp Creator, могут использоваться для получения персональных данных;
- сотни наиболее чувствительных ключей позволяют проводить финансовые операции, запрашивать возврат средств и получать доступ к сообщениям пользователей.
Использование так называемых «жёстко закодированных» секретов представляет собой метод, при котором конфиденциальные данные, например, пароли и API-ключи, встраиваются непосредственно в код приложения. Ранее CISA и FBI уже предупреждали о высоких рисках подобной практики, поскольку компрометация этих данных может привести к утечке аккаунтов и несанкционированному доступу к сервисам.
Специалисты советуют разработчикам отказаться от хранения таких данных в коде клиентских приложений. Более безопасным решением является размещение ключей на защищённых серверах или использование специальных SDK, обеспечивающих надёжное шифрование. Но переход к этим методам требует значительных временных затрат и усилий.
Apple, удерживая лидирующие позиции на рынке смартфонов в США, не проверяет приложения на наличие подобных уязвимостей при их модерации. По заявлению компании, 90% обновлений проходят проверку за сутки, но в некоторых случаях этот процесс может растянуться на несколько недель. На момент публикации отчёта компания не предоставила комментариев по поводу выявленных проблем.
Чтобы снизить риск утечек, пользователям рекомендуется скачивать программы только от проверенных разработчиков, ограничивать доступ приложений к данным и удалять ненужные программы. Это поможет минимизировать возможные угрозы.
Ещё по теме:
- Новая утечка деталей iPhone 17 Pro вновь намекает на радикальное изменение блока камер
- Иск о «пиратстве» к Meta* может определить будущее копирайта при обучении ИИ
- Домен .su может исчезнуть к 2030 году
