Milióny aplikácií vystavujú riziku osobné údaje používateľov

Bezpečnostní experti spoločnosti Kaspersky Lab sledovali 13 miliónov aplikácií pochádzajúcich z oficiálnych zdrojov a zistili, že takmer štvrtina z nich prenáša používateľské údaje cez nechránené HTTP protokoly. Vo väčšine prípadov ide o údaje o zariadení a technické špecifikácie, úniky sa však týkali aj určenia polohy zariadenia, histórie vyhľadávaní či citlivých osobných údajov – ako telefónne číslo, meno alebo vek majiteľa zariadenia.

Analýza ďalej odhalila, že sledované aplikácie obsahujú tzv. SDK nástroje tretích strán využívané prevádzkovateľmi reklamných služieb. Niektoré z týchto aplikácií majú takmer pol miliardy sťahovaní po celom svete a je preto dosť možné, že takto získané údaje môžu byť zneužívané aj na rozsiahlejšie kybernetické útoky.

SDK predstavuje set vývojárskych nástrojov, ktoré sú vo väčšine prípadov distribuované bezplatne a umožňujú autorom softvéru sústrediť sa na najdôležitejšie časti aplikácie. Vývojári často používajú kód tretej strany, aby tak ušetrili čas použitím už existujúcej funkcionality. Týmto spôsobom sú napr. reklamné SDK schopné zbierať údaje o používateľovi za účelom lepšieho cielenia reklamy.

Hlbšia analýza týchto aplikácií však ukázala, že prenos týchto dát sa uskutočňuje cez nechránené http protokoly. Kvôli nedostatočnej ochrane a chýbajúcemu šifrovaniu sú osobné údaje používateľov vystavené obrovskému riziku. Prístup k ním tak môže získať ktokoľvek – či už cez nechránené Wi-Fi siete, poskytovateľa internetových služieb alebo aj cez malvér v domácom routri. Navyše, takto získané dáta môžu byť používané na ďalšie škodlivé aktivity a s ich pomocou sa do zariadenia môžu dostať podvodné verzie reklám infikované malvérom.

Na základe tohto výskumu sa bezpečnostným analytikom podarilo zostaviť rozsiahly zoznam dotknutých aplikácií a identifikovať množstvo hlavných domén, z ktorých väčšina patrí populárnym reklamným sieťam. Celkovo ide o milióny aplikácií, pričom takmer všetky z nich prenášajú týmto riskantným spôsobom aspoň jeden z týchto citlivých údajov:

  • Osobné údaje ako meno, vek či pohlavie používateľa. Rovnako môžu obsahovať aj informácie o príjme požívateľa, telefónne čísla, e-mailové adresy a ďalšie (vzhľadom na veľké množstvo citlivých údajov, ktoré používatelia nielen online zoznamiek neuvážene zdieľajú);
  • Informácie o zariadení, ako výrobcu, model alebo číslo zariadenia, rozlíšenie obrazovky, systémovú verziu či iné technické špecifikácie;
  • Polohu zariadenia, a teda aj používateľa.

„Spočiatku sme si mysleli, že ide len o pár špecifických prípadov nezodpovedne navrhnutých aplikácií. Naše očakávania však boli prekonané. V obehu sú milióny aplikácií, ktoré obsahujú SDK sety tretích strán prenášajúce citlivé údaje o používateľoch cez nechránené HTTP protokoly. Tým ich vystavujú obrovskému riziku nielen z pohľadu zneužitia zachytených údajov, ale môžu viesť k ďalším a rozsiahlejším malvérovým útokom, blackmailu alebo iným vysoko efektívnym útokom na zariadenia,“ komentoval zistenia výskumu Roman Unuchek, bezpečnostný expert spoločnosti Kaspersky Lab.

Pre zníženie rizika odporúčajú bezpečnostní analytici Kaspersky Lab uskutočniť tieto opatrenia:

  • Skontrolovať povolenia aplikácie. Nedávajte povolenia na prístup v prípadoch, ktoré nepovažujete za nevyhnutné alebo im nerozumiete. Väčšina aplikácií napr. nepotrebuje prístup k informáciám o vašej polohe, tak im tento prístup jednoducho odmietnite, a pod.
  • Používať bezpečné pripojenie, ideálne len tzv. VPN siete, pokiaľ to je možné. Tie sú schopné šifrovať prenos medzi zariadením a serverom.
Našli ste chybu či nepresnosť v texte? Dajte nám o tom vedieť.

Viac podobných článkov nájdete na www.podnikajte.sk


Kybernetické útoky na firmy rastú: ako sa chrániť?

Takmer každá firma na Slovensku a Česku čelila vlani kybernetickému útoku. Ako hrozbám predchádzať a čo nepodceniť?

Kľúč k vhodnému kyberzabezpečeniu firmy: ocenenie rizík

Únik firemných dát sa podpíše na jej fungovaní aj financiách. Kľúčom k zvoleniu vhodných opatrení je analýza a ocenenie potenciálnych rizík. Ako na to a prečo je to dôležité?

Telefonické podvody: útočníci vás presvedčia, že volá banka

Využívajú na to metódy zvané vishing a spoofing. Na čo dať pozor a ako neprísť o všetky svoje úspory?

Riadenie prístupu k firemným dátam ako pilier kyberbezpečnosti

Ako môže riadenie prístupu zabrániť kybernetickým útokom či úniku hesiel? V článku približujeme význam, princípy aj osvedčený postup.
To najlepšie z Podnikajte.sk do vašej schránky