Miljontals appar riskerar dataläckor på grund av tredje parts kod
Medan de analyserade populära dejtingappar upptäckte Kaspersky Labs forskare att vissa okrypterade användardataöverföringar över det osäkra HTTP-protokollet utgör en risk för dataexponering. Detta beror på att vissa appar använder färdiga annons-SDK:er från tredje part, som ingår i några av de mest populära annonsnätverken. De inblandade apparna inkluderar flera miljarder installationer över hela världen och ett kritiskt säkerhetsbrist innebär att personlig data kan fångas upp, modifieras och användas i ytterligare attacker, vilket gör många användare försvarslösa.
En SDK är en uppsättning utvecklingsverktyg, som ofta distribueras gratis, som gör att programvaruförfattare kan fokusera på nyckelelementen i en applikation samtidigt som de delegerar andra funktioner till ett färdigt SDK. Utvecklare använder ofta tredjepartskod för att spara tid genom att återanvända befintlig funktionalitet för att skapa en del av en applikation. Till exempel samlar Ads SDK in användardata för att visa relevanta annonser, vilket hjälper utvecklare att tjäna pengar på sina produkter. Kit skickar användardata till populära annonsnätverksdomäner för att visa mer riktade annonser.
Men en ytterligare analys av applikationerna har visat att data skickas okrypterad och över HTTP, vilket innebär att den inte är skyddad när den överförs till servern. Eftersom det inte finns någon kryptering kan data fångas upp av vem som helst – via oskyddat Wi-Fi, av en Internetleverantör eller genom skadlig programvara på en hemrouter. Ännu värre, den avlyssnade informationen kan också ändras, vilket innebär att appen kommer att visa skadliga annonser istället för legitima. Användaren lockas sedan att ladda ner en annonserad app, som blir skadlig och utsätter dem för risker.
Kaspersky Labs forskare undersökte loggarna och nätverkstrafiken för applikationer i den interna Android Sandbox för att upptäcka vilka applikationer som överför okrypterad användardata till nätverk över HTTP. De har identifierat flera stora domäner, varav de flesta ingår i populära annonsnätverk. Det totala antalet applikationer som använder dessa SDK:er uppgår till flera miljoner, och de flesta av dem överför åtminstone en av följande databitar på ett okrypterat sätt:
Personuppgifter, främst användarens namn, ålder och kön. Det kan till och med innehålla användarintäkter. Deras telefonnummer och e-postadresser kan också läcka när människor delar mycket personlig information i dejtingappar. Enhetsinformation, som tillverkare, modell, skärmupplösning, systemversion och appnamn Enhetsplats
“Omfattningen av vad vi först trodde var bara några specifika fall av slarvig appdesign var överväldigande. Roman Unuchek, säkerhetsforskare vid Kaspersky Lab, säger att miljontals appar, inklusive tredjeparts-SDK:er, exponerar privat data som enkelt kan fångas upp och modifieras – vilket leder till skadlig programvara, utpressning och andra mycket effektiva attackvektorer på din enhet.
Kaspersky Labs forskare rekommenderar dock följande säkerhetsåtgärder för att hålla din data säker:
Kontrollera dina appbehörigheter. Ge inte tillgång till något om du inte förstår varför. De flesta appar behöver inte åtkomst till din plats, så bevilja det inte. Använd ett VPN. Det kommer att kryptera nätverkstrafik mellan din enhet och servrarna. Det kommer dock fortfarande att förbli okrypterat bakom VPN:s servrar, men åtminstone risken för läckor minskar i processen.
. .
. .
…
