Вшитые ключи API, уязвимость к MITM-атакам, встроенные трекеры и ссылки на опасные сайты – это лишь некоторые из проблем безопасности.
Скачанные более 85 млн раз Android-приложения для отслеживания передвижения детей шпионят за родителями, а некоторые из них даже содержат ссылки на вредоносные сайты.
Как показывает новое исследование Cybernews, слежение за детьми – это палка о двух концах. Если родители используют для этого цифровые технологии, приложения могут собирать и их данные тоже. Боле того, приложения, предназначением которых является обеспечение безопасности, не всегда соответствуют высочайшим стандартам.
По результатам исследования специалисты пришли к выводу, что ни одно из десяти изученных ими популярных приложений из Google Play, предназначенных для слежения за детьми и членами семьи, не может получить наивысшую оценку в категории «приватность».
Каждое из изученных приложений насчитывает более миллиона загрузок, а самое популярное было скачано свыше 50 млн раз.
Для оценки приложений исследователи использовали популярный инструмент с открытым исходным кодом Mobile Security Framework (MobSF). Оценка безопасности проводилась по стобалльной шкале, где 100 – наивысший желаемый балл. Оценку приватности инструмент MobSF выдает в буквенном обозначении от A до F, где A – наивысший желаемый балл.
Семь из десяти приложений получили B за приватность, еще двум была поставлена оценка C. Приложение Phone Tracker By Number (6.28) с более 50 млн загрузок получило самую низкую оценку и было признано представляющим «критическую угрозу».
Приложение обменивается широковещательными приемниками (Broadcast Receiver) – компонентами Android, позволяющими приложению отвечать на сообщения ОС или других приложений. То есть, получить доступ к Phone Tracker By Number может произвольное приложение на устройстве и, скажем, извлечь из него данные о перемещении ребенка.
Из-за небезопасной реализации обработки SSL-сертификата приложение уязвимо к атакам «человек посередине» (MITM). Другими словами, злоумышленники могут перехватывать его трафик.
К MITM-атакам также уязвимы приложения Family Locator - GPS Tracker & Find Your Phone App (5.29.2) с более 10 млн загрузок, Family GPS tracker KidsControl (k5.3.6) с более 1 млн загрузок и FamiSafe: Parental Control App (5.7.0.204) с более 1 млн загрузок.
Словно по иронии судьбы, изученные исследователями приложения для отслеживания детей содержат трекеры, собирающие данные как самих детей, так и их родителей. Если ребенок отправит кому-то фотографию интимного характера, приложение получит к нему доступ.
Все изученные приложения содержат вшитые ключи API, которым хакеры всегда смогут найти применение.
Четыре приложения также содержат потенциально вредоносные ссылки, которые могут вести на опасные сайты.
SECURITYLAB.RU
