Béna hibát találtak több ezer appban
Tízezernyi népszerű alkalmazásban található meg az a hiba, ami miatt milliárdnyi jelszó, lakcím, fénykép és orvosi információ kerülhet illetéktelen kezekbe. A német Fraunhofer Intézet informatikai biztonsággal foglalkozó részlegén és a Darmstadti Műszaki Egyetemen dolgozó kutatók a tüzetesebben megvizsgált játékokban, üzenetküldőkben, orvosi és banki szoftverekben máris56 millió védetlen adatbejegyzést találtak.
Eric Bodden, a kutatócsoport vezetője úgy véli, több milliárd bejegyzéshez férhetnek hozzá a hekkerek, ha az általuk felfedezett módszerrel kezdik visszafejteni az adatbázisok védelmi rendszereit. Tőlük függetlenül a kolumbiai Jheto Xarki is megtalálta ugyanezt a hibát.
Mindezért az alkalmazások fejlesztői a felelősek, és az emberi lustaság.
A legtöbb alkalmazás online felhőszolgáltatók tárhelyére menti el a felhasználók adatait. Ilyen például az Amazon Web Services (AWS) és a Facebook Parse. Ezek felkínálnak a fejlesztőknek lehetőségeket arra, hogy azok biztosítani tudják ezen adatok védelmét, de a legtöbb fejlesztő az alapértelmezett beállítást választja. A támadók ezt kihasználva sorozatban törhetik fel az alkalmazások védelmi rendszerét.
A kutatók még nem találtak bizonyítékot arra, hogy bárki kihasználta volna ezt a hibát, de ami késik, nem múlik. A csoport nem akarta megnevezni az érintett appokat, csak annyit árultak el, hogy az Apple App Store és a Google Play Áruház legnépszerűbb alkalmazásai is megtalálhatók közöttük, ami azt jelenti, hogy
Önnek is biztosan van az okostelefonján könnyen feltörhető app.
Nem túl megnyugtató, igaz? Siegfried Rasthofer, a csoport egyik tagja elmondta, hogy mind a négy vizsgált cég, a Google, a Facebook, az Amazon és az Apple is reagált a megkeresésükre. Az Apple azt is közölte, hogy figyelmeztetni fogják a fejlesztőket, figyeljenek jobban a biztonságra, mielőtt bármit is feltöltenek az App Store-ba.
Bodden szerint az általuk felfedezett biztonsági rés van olyan horderejű, mint a tavalyi Heartbleed-bug, amikor kiderült, hogy több százezer védtelen webszerverről lehet adatokat lopni. Annyiban talán súlyosabb is a helyzet, hogy a mobilózók keveset tudnak tenni az adataik védelme érdekében.
Kövesse az Indexet Facebookon is!
Követem!
