Huba
17 °C
33 °C

Béna hibát találtak több ezer appban

GettyImages-474742457
2015.06.18. 19:26

Tízezernyi népszerű alkalmazásban található meg az a hiba, ami miatt milliárdnyi jelszó, lakcím, fénykép és orvosi információ kerülhet illetéktelen kezekbe. A német Fraunhofer Intézet informatikai biztonsággal foglalkozó részlegén és a Darmstadti Műszaki Egyetemen dolgozó kutatók a tüzetesebben megvizsgált játékokban, üzenetküldőkben, orvosi és banki szoftverekben máris56 millió védetlen adatbejegyzést találtak.

Eric Bodden, a kutatócsoport vezetője úgy véli, több milliárd bejegyzéshez férhetnek hozzá a hekkerek, ha az általuk felfedezett módszerrel kezdik visszafejteni az adatbázisok védelmi rendszereit. Tőlük függetlenül a kolumbiai Jheto Xarki is megtalálta ugyanezt a hibát.

Mindezért az alkalmazások fejlesztői a felelősek, és az emberi lustaság.

A legtöbb alkalmazás online felhőszolgáltatók tárhelyére menti el a felhasználók adatait. Ilyen például az Amazon Web Services (AWS) és a Facebook Parse. Ezek felkínálnak a fejlesztőknek lehetőségeket arra, hogy azok biztosítani tudják ezen adatok védelmét, de a legtöbb fejlesztő az alapértelmezett beállítást választja. A támadók ezt kihasználva sorozatban törhetik fel az alkalmazások védelmi rendszerét.

A kutatók még nem találtak bizonyítékot arra, hogy bárki kihasználta volna ezt a hibát, de ami késik, nem múlik. A csoport nem akarta megnevezni az érintett appokat, csak annyit árultak el, hogy az Apple App Store és a Google Play Áruház legnépszerűbb alkalmazásai is megtalálhatók közöttük, ami azt jelenti, hogy

Önnek is biztosan van az okostelefonján könnyen feltörhető app.

Nem túl megnyugtató, igaz? Siegfried Rasthofer, a csoport egyik tagja elmondta, hogy mind a négy vizsgált cég, a Google, a Facebook,  az Amazon és  az Apple is reagált a megkeresésükre. Az Apple azt is közölte, hogy figyelmeztetni fogják a fejlesztőket, figyeljenek jobban a biztonságra, mielőtt bármit is feltöltenek az App Store-ba.

Bodden szerint az általuk felfedezett biztonsági rés van olyan horderejű, mint a tavalyi Heartbleed-bug, amikor kiderült, hogy több százezer védtelen webszerverről lehet adatokat lopni. Annyiban talán súlyosabb is a helyzet, hogy a mobilózók keveset tudnak tenni az adataik védelme érdekében.