back to top
28.9 C
Athens
Παρασκευή 8 Αυγούστου 2025

Κίνδυνος διαρροής προσωπικών δεδομένων για εκατομμύρια εφαρμογές λόγω κώδικα τρίτου κατασκευαστή

Ενώ ανέλυαν δημοφιλείς εφαρμογές online dating, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι μερικές μεταδίδουν μη κρυπτογραφημένα δεδομένα χρήστη μέσω του επισφαλούς πρωτοκόλλου HTTP, διακινδυνεύοντας την έκθεση των δεδομένων χρήστη.

Αυτό, σύμφωνα με τη σχετική ανακοίνωση, οφείλεται στο γεγονός ότι μερικές εφαρμογές χρησιμοποιούν έτοιμα διαφημιστικά SDKs, τα οποία είναι μέρος κάποιων από τα πιο δημοφιλή διαφημιστικά δίκτυα. Οι εμπλεκόμενες εφαρμογές περιλαμβάνουν ορισμένες με δισεκατομμύρια εγκαταστάσεις παγκοσμίως και ένα σοβαρό σφάλμα ασφάλειας σημαίνει ότι τα ιδιωτικά δεδομένα θα μπορούσαν να υποκλαπούν, να τροποποιηθούν και να χρησιμοποιηθούν σε περαιτέρω επιθέσεις, αφήνοντας πολλούς χρήστες ανυπεράσπιστους.

- Advertisement -

Ένα SDK είναι ένα σύνολο εργαλείων development, τα οποία συχνά διανέμονται δωρεάν και επιτρέπουν στους δημιουργούς λογισμικού να εστιάζουν στα βασικά στοιχεία μιας εφαρμογής, ενώ εμπιστεύονται άλλα χαρακτηριστικά σε έτοιμα SDKs. Οι προγραμματιστές συχνά χρησιμοποιούν κώδικα τρίτου κατασκευαστή για να εξοικονομήσουν χρόνο επαναχρησιμοποιώντας την υπάρχουσα λειτουργικότητα για να δημιουργήσουν μέρος της εφαρμογής. Για παράδειγμα, τα SDK διαφημίσεων συλλέγουν δεδομένα χρηστών για να εμφανίζουν σχετικές διαφημίσεις, βοηθώντας έτσι τους προγραμματιστές να δημιουργούν έσοδα από το προϊόν τους. Τα κιτ στέλνουν δεδομένα χρήστη στα domains δημοφιλών διαφημιστικών δικτύων για πιο στοχευμένη προβολή διαφημίσεων.

Ωστόσο, βαθύτερη ανάλυση των εφαρμογών έδειξε ότι τα δεδομένα αποστέλλονται χωρίς κρυπτογράφηση και μέσω του HTTP, που σημαίνει ότι είναι απροστάτευτα όταν μεταφέρονται στους servers. Λόγω της απουσίας κρυπτογράφησης, τα δεδομένα μπορούν να υποκλαπούν από οποιονδήποτε – μέσω μη προστατευμένου Wi-Fi, από τον Πάροχο Υπηρεσιών Διαδικτύου ή μέσω κακόβουλου λογισμικού σε οικιακό router. Ακόμα χειρότερα, τα δεδομένα που έχουν υποκλαπεί μπορούν επίσης να τροποποιηθούν, πράγμα που σημαίνει ότι στην εφαρμογή θα εμφανίζονται κακόβουλες διαφημίσεις αντί νόμιμων. Στη συνέχεια, οι χρήστες θα δελεαστούν ώστε να «κατεβάσουν» μια διαφημιζόμενη εφαρμογή, η οποία θα αποδειχθεί ότι είναι κακόβουλο λογισμικό και τους θέτει σε κίνδυνο.

- Advertisement -

Οι ερευνητές της Kaspersky Lab εξέτασαν τα αρχεία καταγραφής και την κίνηση δικτύου εφαρμογών στο εσωτερικό Android Sandbox για να ανακαλύψουν ποιες εφαρμογές μεταδίδουν μη κρυπτογραφημένα δεδομένα χρήστη σε δίκτυα μέσω HTTP. Εντοπίστηκαν αρκετά σημαντικά domains, εκ των οποίων τα περισσότερα αποτελούν τμήμα δημοφιλών διαφημιστικών δικτύων. Ο αριθμός των εφαρμογών που χρησιμοποιούν αυτά τα SDK ανέρχεται σε αρκετά εκατομμύρια, με τις περισσότερες από αυτές να μεταδίδουν τουλάχιστον ένα από τα παρακάτω στοιχεία δεδομένων με μη κρυπτογραφημένο τρόπο:

  • Προσωπικές πληροφορίες, κυρίως όνομα χρήστη, ηλικία και φύλο. Μπορεί να περιλαμβάνει ακόμη και το εισόδημα του χρήστη. Ο αριθμός τηλεφώνου και η διεύθυνση email τους θα μπορούσε επίσης να διαρρεύσει (οι άνθρωποι μοιράζονται πολλές προσωπικές πληροφορίες στις εφαρμογές online dating, σύμφωνα με άλλη μελέτη της Kaspersky Lab.
  • Πληροφορίες συσκευής, όπως ο κατασκευαστής, το μοντέλο, η ανάλυση οθόνης, η έκδοση συστήματος και το όνομα εφαρμογής.
  • Τοποθεσία εφαρμογής.

«Όταν ξεκινήσαμε την έρευνά μας θεωρούσαμε ότι θα συναντήσουμε μερικές συγκεκριμένες περιπτώσεις απρόσεκτου σχεδιασμού εφαρμογών, αλλά η πραγματική εικόνα μάς εξέπληξε αρνητικά. Εκατομμύρια εφαρμογές περιλαμβάνουν SDK τρίτων κατασκευαστών, εκθέτοντας ιδιωτικά δεδομένα που μπορούν εύκολα να υποκλαπούν και να τροποποιηθούν – οδηγώντας σε “μολύνσεις” από κακόβουλο λογισμικό, εκβιασμούς και άλλους πολύ αποτελεσματικούς φορείς επίθεσης στις συσκευές σας», δήλωσε ο Roman Unuchek, ερευνητής ασφάλειας στην Kaspersky Lab.

Οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες να λαμβάνουν τα εξής μέτρα:

  • Ελέγξτε τα δικαιώματα της εφαρμογής σας. Μην παραχωρήσετε πρόσβαση σε κάτι αν δεν καταλαβαίνετε γιατί. Οι περισσότερες εφαρμογές δεν χρειάζονται πρόσβαση στην τοποθεσία σας, οπότε μην την παραχωρείτε.
  • Χρησιμοποιήστε ένα VPN. Θα κρυπτογραφήσει την κίνηση δικτύου μεταξύ της συσκευής σας και των servers. Ωστόσο, θα παραμείνει μη κρυπτογραφημένη πίσω από τους VPN servers, αλλά τουλάχιστον ο κίνδυνος διαρροής μειώνεται κατά τη διαδικασία.

Για να μάθετε περισσότερα σχετικά με τα SDKs τρίτων κατασκευαστών, μπορείτε να διαβάσετε το blogpost στον ειδικό ιστότοπο Securelist.com.

https://bedbible.com/online-dating-statistics/

Σχετικές δημοσιεύσεις

Ημέρα Προστασίας Δεδομένων: Το κρυφό κόστος των εφαρμογών που χρησιμοποιούμε καθημερινά

Με αφορμή την Ημέρα Προστασίας Δεδομένων στις 28 Ιανουαρίου, η Kaspersky αναδεικνύει τους συμβιβασμούς στην πολιτική απορρήτου που επιβάλλουν οι δημοφιλείς και ευρέως χρησιμοποιούμενες...

Καμπάνα 9,2 εκατ. ευρώ σε COSMOTE – ΟΤΕ για περιστατικό παραβίασης προσωπικών δεδομένων

Πρόστιμο 6 εκατ. ευρώ στην Cosmote και 3.250.000 ευρώ στον ΟΤΕ επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων, λόγω της διαρροής προσωπικών δεδομένων καταναλωτών.

Σχεδόν 1 στους 4 επιτρέπει σε εφαρμογές πρόσβαση σε μικρόφωνα ή κάμερες

Σχεδόν ένας στους τέσσερις (23%) χρήστες του διαδικτύου παρέχει πάντα σε εφαρμογές και υπηρεσίες άδεια πρόσβασης στο μικρόφωνό ή τη webcam του

Kaspersky Lab: Ο Miroslav Kořen αναλαμβάνει χρέη Γενικού Διευθυντή Ανατολικής Ευρώπης

Η Kaspersky Lab ανακοινώνει ότι ο Miroslav Kořen εντάχθηκε στην εταιρεία αναλαμβάνοντας θέση Γενικού Διευθυντή Ανατολικής Ευρώπης με έδρα την Πράγα

Από την ίδια κατηγορία δημοσιεύσεων

Θ. Δομπρίδης, ΕΑΚ: Ξεκινούν επιτόπιοι έλεγχοι για τη NIS2 – Βίντεο

Τι θα περιλαμβάνει το υπό διαμόρφωση πλαίσιο ελέγχου των υπόχρεων από την Εθνική Αρχή Κυβερνοασφάλειας

Interamerican: Αναπροσαρμογές ασφαλίστρων στον κλάδο Γενικής Αστικής Ευθύνης

Απαραίτητη ενέργεια, κατά την εταιρεία, για υψηλή ποιότητα υπηρεσιών και άμεση ανταπόκριση στις ανάγκες των πελατών - Για ποιους θα ισχύσει αύξηση 12%

Η ΔΕΗ στο XTRUST-6G για την κυβερνοασφάλεια των ευφυών υποδομών ηλεκτροκίνησης

Συμμετοχή του Ομίλου ΔΕΗ στο ευρωπαϊκό ερευνητικό έργο XTRUST-6G με πιλοτική εφαρμογή για την ασφάλεια στην ηλεκτροκίνηση

Μην αφήσετε τους χάκερ να σας χαλάσουν το καλοκαίρι: συμβουλές της Kaspersky για ασφαλέστερη εξ αποστάσεως εργασία

Η αυξανόμενη αξιοποίηση της συνδεσιμότητας από τους ταξιδιώτες δεν έχει περάσει απαρατήρητη από τους κυβερνοεγκληματίες

Δημοφιλή Άρθρα

Ροή Ειδήσεων

P. Donnet, Generali: Θετική επίδοση σε όλους τους κλάδους με το σχέδιο «Lifetime Partner 27: Driving Excellence»

Ισχυρή ανάπτυξη στους κλάδους Γενικών Ασφαλίσεων, Ζωής και Διαχείρισης Κεφαλαίων - Δείτε τα αποτελέσματα 6μήνου

Απευθείας σύνδεση ασφαλιστικών με δημόσια μητρώα: Μια θεσμική νίκη με πολλαπλά οφέλη

Τι σημαίνει αυτή η αλλαγή για τον επαγγελματία, τον πελάτη, αλλά και συνολικά την ασφαλιστική αγορά;

«Καμπανάκι» Γ. Χατζηθεοδοσίου για δασμούς, τουρισμό και εισοδήματα – Βίντεο

Για τις σημαντικές προκλήσεις της ελληνικής οικονομίας, λόγω διεθνών εξελίξεων και εσωτερικών πιέσεων, μίλησε στην ΕΡΤ ο πρόεδρος του ΕΕΑ

ΕΑΕΕ: +2,5% η παραγωγή ασφαλίστρων το 5μηνο, στα ~2,393 δισ. ευρώ

Αύξηση 9,0% στον κλάδο ζημιών και μείωση 4,3% στον κλάδο ζωής - Δείτε το infographic των αποτελεσμάτων και ολόκληρη τη μελέτη

Ιστορικά αποτελέσματα για τον Όμιλο Allianz στο Β’ Τρίμηνο και Α’ Εξάμηνο του 2025

Ρεκόρ λειτουργικής κερδοφορίας - Οι επιδόσεις ανά κλάδο