back to top
21.3 C
Athens
Παρασκευή 22 Νοεμβρίου 2024

Κίνδυνος διαρροής προσωπικών δεδομένων για εκατομμύρια εφαρμογές λόγω κώδικα τρίτου κατασκευαστή

Ενώ ανέλυαν δημοφιλείς εφαρμογές online dating, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι μερικές μεταδίδουν μη κρυπτογραφημένα δεδομένα χρήστη μέσω του επισφαλούς πρωτοκόλλου HTTP, διακινδυνεύοντας την έκθεση των δεδομένων χρήστη.

Αυτό, σύμφωνα με τη σχετική ανακοίνωση, οφείλεται στο γεγονός ότι μερικές εφαρμογές χρησιμοποιούν έτοιμα διαφημιστικά SDKs, τα οποία είναι μέρος κάποιων από τα πιο δημοφιλή διαφημιστικά δίκτυα. Οι εμπλεκόμενες εφαρμογές περιλαμβάνουν ορισμένες με δισεκατομμύρια εγκαταστάσεις παγκοσμίως και ένα σοβαρό σφάλμα ασφάλειας σημαίνει ότι τα ιδιωτικά δεδομένα θα μπορούσαν να υποκλαπούν, να τροποποιηθούν και να χρησιμοποιηθούν σε περαιτέρω επιθέσεις, αφήνοντας πολλούς χρήστες ανυπεράσπιστους.

- Advertisement -

Ένα SDK είναι ένα σύνολο εργαλείων development, τα οποία συχνά διανέμονται δωρεάν και επιτρέπουν στους δημιουργούς λογισμικού να εστιάζουν στα βασικά στοιχεία μιας εφαρμογής, ενώ εμπιστεύονται άλλα χαρακτηριστικά σε έτοιμα SDKs. Οι προγραμματιστές συχνά χρησιμοποιούν κώδικα τρίτου κατασκευαστή για να εξοικονομήσουν χρόνο επαναχρησιμοποιώντας την υπάρχουσα λειτουργικότητα για να δημιουργήσουν μέρος της εφαρμογής. Για παράδειγμα, τα SDK διαφημίσεων συλλέγουν δεδομένα χρηστών για να εμφανίζουν σχετικές διαφημίσεις, βοηθώντας έτσι τους προγραμματιστές να δημιουργούν έσοδα από το προϊόν τους. Τα κιτ στέλνουν δεδομένα χρήστη στα domains δημοφιλών διαφημιστικών δικτύων για πιο στοχευμένη προβολή διαφημίσεων.

Ωστόσο, βαθύτερη ανάλυση των εφαρμογών έδειξε ότι τα δεδομένα αποστέλλονται χωρίς κρυπτογράφηση και μέσω του HTTP, που σημαίνει ότι είναι απροστάτευτα όταν μεταφέρονται στους servers. Λόγω της απουσίας κρυπτογράφησης, τα δεδομένα μπορούν να υποκλαπούν από οποιονδήποτε – μέσω μη προστατευμένου Wi-Fi, από τον Πάροχο Υπηρεσιών Διαδικτύου ή μέσω κακόβουλου λογισμικού σε οικιακό router. Ακόμα χειρότερα, τα δεδομένα που έχουν υποκλαπεί μπορούν επίσης να τροποποιηθούν, πράγμα που σημαίνει ότι στην εφαρμογή θα εμφανίζονται κακόβουλες διαφημίσεις αντί νόμιμων. Στη συνέχεια, οι χρήστες θα δελεαστούν ώστε να «κατεβάσουν» μια διαφημιζόμενη εφαρμογή, η οποία θα αποδειχθεί ότι είναι κακόβουλο λογισμικό και τους θέτει σε κίνδυνο.

- Advertisement -

Οι ερευνητές της Kaspersky Lab εξέτασαν τα αρχεία καταγραφής και την κίνηση δικτύου εφαρμογών στο εσωτερικό Android Sandbox για να ανακαλύψουν ποιες εφαρμογές μεταδίδουν μη κρυπτογραφημένα δεδομένα χρήστη σε δίκτυα μέσω HTTP. Εντοπίστηκαν αρκετά σημαντικά domains, εκ των οποίων τα περισσότερα αποτελούν τμήμα δημοφιλών διαφημιστικών δικτύων. Ο αριθμός των εφαρμογών που χρησιμοποιούν αυτά τα SDK ανέρχεται σε αρκετά εκατομμύρια, με τις περισσότερες από αυτές να μεταδίδουν τουλάχιστον ένα από τα παρακάτω στοιχεία δεδομένων με μη κρυπτογραφημένο τρόπο:

  • Προσωπικές πληροφορίες, κυρίως όνομα χρήστη, ηλικία και φύλο. Μπορεί να περιλαμβάνει ακόμη και το εισόδημα του χρήστη. Ο αριθμός τηλεφώνου και η διεύθυνση email τους θα μπορούσε επίσης να διαρρεύσει (οι άνθρωποι μοιράζονται πολλές προσωπικές πληροφορίες στις εφαρμογές online dating, σύμφωνα με άλλη μελέτη της Kaspersky Lab.
  • Πληροφορίες συσκευής, όπως ο κατασκευαστής, το μοντέλο, η ανάλυση οθόνης, η έκδοση συστήματος και το όνομα εφαρμογής.
  • Τοποθεσία εφαρμογής.

«Όταν ξεκινήσαμε την έρευνά μας θεωρούσαμε ότι θα συναντήσουμε μερικές συγκεκριμένες περιπτώσεις απρόσεκτου σχεδιασμού εφαρμογών, αλλά η πραγματική εικόνα μάς εξέπληξε αρνητικά. Εκατομμύρια εφαρμογές περιλαμβάνουν SDK τρίτων κατασκευαστών, εκθέτοντας ιδιωτικά δεδομένα που μπορούν εύκολα να υποκλαπούν και να τροποποιηθούν – οδηγώντας σε “μολύνσεις” από κακόβουλο λογισμικό, εκβιασμούς και άλλους πολύ αποτελεσματικούς φορείς επίθεσης στις συσκευές σας», δήλωσε ο Roman Unuchek, ερευνητής ασφάλειας στην Kaspersky Lab.

Οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες να λαμβάνουν τα εξής μέτρα:

  • Ελέγξτε τα δικαιώματα της εφαρμογής σας. Μην παραχωρήσετε πρόσβαση σε κάτι αν δεν καταλαβαίνετε γιατί. Οι περισσότερες εφαρμογές δεν χρειάζονται πρόσβαση στην τοποθεσία σας, οπότε μην την παραχωρείτε.
  • Χρησιμοποιήστε ένα VPN. Θα κρυπτογραφήσει την κίνηση δικτύου μεταξύ της συσκευής σας και των servers. Ωστόσο, θα παραμείνει μη κρυπτογραφημένη πίσω από τους VPN servers, αλλά τουλάχιστον ο κίνδυνος διαρροής μειώνεται κατά τη διαδικασία.

Για να μάθετε περισσότερα σχετικά με τα SDKs τρίτων κατασκευαστών, μπορείτε να διαβάσετε το blogpost στον ειδικό ιστότοπο Securelist.com.

https://bedbible.com/online-dating-statistics/

Σχετικές δημοσιεύσεις

Καμπάνα 9,2 εκατ. ευρώ σε COSMOTE – ΟΤΕ για περιστατικό παραβίασης προσωπικών δεδομένων

Πρόστιμο 6 εκατ. ευρώ στην Cosmote και 3.250.000 ευρώ στον ΟΤΕ επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων, λόγω της διαρροής προσωπικών δεδομένων καταναλωτών.

Σχεδόν 1 στους 4 επιτρέπει σε εφαρμογές πρόσβαση σε μικρόφωνα ή κάμερες

Σχεδόν ένας στους τέσσερις (23%) χρήστες του διαδικτύου παρέχει πάντα σε εφαρμογές και υπηρεσίες άδεια πρόσβασης στο μικρόφωνό ή τη webcam του

Kaspersky Lab: Ο Miroslav Kořen αναλαμβάνει χρέη Γενικού Διευθυντή Ανατολικής Ευρώπης

Η Kaspersky Lab ανακοινώνει ότι ο Miroslav Kořen εντάχθηκε στην εταιρεία αναλαμβάνοντας θέση Γενικού Διευθυντή Ανατολικής Ευρώπης με έδρα την Πράγα

Η Kaspersky Lab βοηθά στη διασφάλιση των βιονικών τεχνολογιών για άτομα με αναπηρίες

Οι ειδικοί της Kaspersky Lab ερευνούν την πειραματική cloud υποδομή για εξελιγμένα βιονικά τεχνητά μέλη, καθώς έχουν εντοπιστεί αρκετά παλαιότερα κενά ασφαλείας τα οποία επιτρέπουν σε τρίτους να

Από την ίδια κατηγορία δημοσιεύσεων

Ν. Σπυράτος, ERGO: Η ασφαλιστική διείσδυση στις ΜμΕ είναι εξαιρετικά χαμηλή

Στη σύγχρονη, ψηφιακή εποχή, στην οποία η χρήση του Διαδικτύου και των νέων τεχνολογιών αποτελεί αναπόσπαστο κομμάτι της καθημερινής ζωής,

Karavias Underwriting Agency: Αύξηση των ορίων στις εγγυητικές επιστολές

Στόχος της Karavias Underwriting Agency όλα αυτά τα χρόνια, είναι να δημιουργεί και να εξελίσσει καινοτόμα προϊόντα

Έκπτωση 20% για Ασφάλιση Κατοικίας από την Groupama Ασφαλιστική

Με στόχο να απαλλάξει από κάθε έγνοια, τόσο τους ιδιοκτήτες όσο και τους ενοικιαστές ακινήτων, η Groupama Ασφαλιστική προσφέρει έκπτωση 20%

Αυξημένες κατά 25% οι κυβερνοαπειλές στο λιανεμπόριο ενόψει της Black Friday

Το 2024, πραγματοποιήθηκαν πάνω από 38 εκατομμύρια επιθέσεις phishing από εγκληματίες του κυβερνοχώρου, οι οποίοι εμφανίζονταν ως γνωστά καταστήματα

Δημοφιλή Άρθρα

Ροή Ειδήσεων

“Ξεκλειδώνεται” πολύτιμη ρευστότητα για τις επιχειρήσεις , δημιουργώντας ανάπτυξη

Νέα αυξημένα όρια εγγυητικών επιστολών που 'ξεκλειδώνουν' μεγάλη ρευστότητα για τις Μικρομεσαίες επιχειρήσεις λάνσαρε η “Karavias Underwriting Agency

Γ. Χατζηθεοδοσίου: “Σοκ και δέος. Να το δούμε να γίνεται πράξη”

Mε ανακοίνωσή του, ο πρόεδρος του Ε.Ε.Α και Επίτιμος Διδάκτορας ΠΑ.ΠΕΙ. κ. Γιάννης Χατζηθεοδοσίου χαιρέτισε τις ανακοινώσεις διά στόματος πρωθυπουργού

Η ERGO Μεγάλος Χορηγός του ΣΕΓΑΣ και του 41ου Αυθεντικού Μαραθωνίου Αθήνας

Η ERGO Ασφαλιστική, σταθερός υποστηρικτής του ΣΕΓΑΣ και του δρομικού κινήματος από το 2011, έδωσε για μία ακόμα φορά δυναμικό «παρών» στον 41ο Αυθεντικό Μαραθώνιο της Αθήνας

Ν. Σπυράτος, ERGO: Η ασφαλιστική διείσδυση στις ΜμΕ είναι εξαιρετικά χαμηλή

Στη σύγχρονη, ψηφιακή εποχή, στην οποία η χρήση του Διαδικτύου και των νέων τεχνολογιών αποτελεί αναπόσπαστο κομμάτι της καθημερινής ζωής,

Νέα ψηφιακά εργαλεία στη μάχη κατά της φοροδιαφυγής το 2025

Eναρξη λειτουργίας μιας σειράς ψηφιακών εργαλείων με στόχο τον περαιτέρω εκσυγχρονισμό της φορολογικής διοίκησης