Tisíce aplikací na Android a iOS „pouští“ ven citlivé údaje

Tisíce aplikací na operační systém Android a iOS nejsou zabezpečené a mohou z nich unikat uživatelská hesla, údaje o GPS lokacích, finanční záznamy a další citlivá data. Ve své nové zprávě to uvedla firma Appthority, specializující se na mobilní kyberbezpečnost.

Firma proskenovala „androidí“ i iOS aplikace, které k ukládání uživatelských dat používají databáze Firebase. Firebase je populární backendová cloudová platforma pro mobilní a webové aplikace, kterou v roce 2014 koupil Google.

Celkem prozkoumala přes 2,7 mil. mobilních aplikací a zjistila, že z více než 27 227 „androidích“ a 1275 iOS aplikací ukládajících data uživatelů v databázích Firebase uložilo 3046 aplikací tato data do 2271 nezabezpečených databází, ke kterým mohl mít prakticky kdokoli přístup. Většinu (zhruba tři čtvrtiny) těchto „veřejně přístupných“ aplikací tvořily aplikace pro Android.

Data z aplikací zahrnují konkrétně 2,6 mil. uživatelských účtů a hesel, 25 mil. záznamů o GPS lokaci, 50 tisíc záznamů o in-app transakcích, přes 4,5 mil. uživatelských tokenů ze sociálních sítí nebo přes 4,5 mil. záznamů o chráněných zdravotních informacích, které obsahují soukromé chaty a záznamy o lékařských předpisech. Celkem jde o více než 100 mil. individuálních záznamů a 113 GB dat a tyto aplikace zaznamenaly v obchodě Google Play přes 620 mil. stažení.

Výzkumníci společnosti uvedli, že před publikací zprávy kontaktovali Google a poskytli mu úplný seznam nezabezpečených aplikací a snažili se jej také dostat přímo k jejich vývojářům.  Aplikace jsou nejčastěji z kategorií finance, zdraví a psaní zpráv.

Google tento týden poskytl webu mashable.com vyjádření, v němž píše, že v prosinci loňského roku poslal e-mail vývojářům všech nechráněných projektů s instrukcemi, jak zapnout bezpečnostní pravidla. Ta musejí vývojáři vypnout, aby se umožnil přístup do veřejných databází. Platforma Firebase prý databáze „defaultně“ zabezpečuje.

Zdroj: mashable.com