Несмотря на репутацию Apple как платформы, обеспечивающей безопасность и контроль за приложениями в App Store, новые исследования выявили тревожные факты. Оказывается, тысячи iOS-приложений, одобренных компанией, содержат скрытые уязвимости, которые могут привести к утечке личной информации пользователей и данных их облачных хранилищ.
Обнаруженные угрозы: что скрывают приложения
Анализ кодов более чем 156 000 приложений, проведённый специалистами cybersecurity-компании Cybernews, показал, что около 8% всех доступных в мире приложений содержат уязвимости. Среди выявленных проблем — хранение внутри приложений чувствительных данных, таких как пароли, API-ключи и токены доступа, что значительно облегчает злоумышленникам задачу по их извлечению.
Почему это опасно: скрытые секреты и облачное хранилище
Разработчики зачастую помещают секретную информацию прямо в код приложений, не защищая её на сервере, что подобно тому, как писать PIN-код на обратной стороне банковской карты. После установки приложения злоумышленники могут просматривать его файлы и легко добывать эти данные, не требуя специальных навыков или сложных инструментов.
Особое беспокойство вызывает использование облачных сервисов: более 78 000 приложений содержат прямые ссылки на облачные хранилища, где хранятся фотографии, документы и резервные копии. В некоторых случаях доступ к этим данным был открыт без пароля, что позволяло любому пользователю или злоумышленнику просматривать или скачивать информацию, включая личные фотографии, регистрационные данные и логи использования.
Уязвимости Firebase и ключевые риски
Многие приложения используют платформу Google Firebase для хранения пользовательских данных. В результате исследования было обнаружено, что в коде более 51 000 ссылок на базы данных Firebase, из которых более 2 200 оказались незащищёнными. Это позволило злоумышленникам просматривать всю информацию, как будто она находится в открытом доступе.
Опасность представляют не только аналитические данные, но и секретные ключи: например, утерянный ключ Stripe мог бы позволить злоумышленникам управлять платежами, а украденные учетные данные — выдавать себя за пользователя или захватывать аккаунты.
Проблемы, связанные с искусственным интеллектом и утечками данных
Некоторые из наиболее пострадавших приложений связаны с AI-технологиями. По данным VX Underground, компания CovertLabs обнаружила 198 приложений с утечками пользовательских данных. Самым крупным инцидентом стало раскрытие истории чатов, номеров телефонов и электронных адресов миллионов пользователей приложения Chat & Ask AI, разработанного Codeway. Другие приложения, такие как YPT — Study Group, также раскрывали сообщения, идентификаторы пользователей и токены доступа.
Эти случаи подтверждают, что даже на проверенной платформе, такой как App Store, могут скрываться серьёзные угрозы из-за ошибок разработчиков или недостатков системы проверки.
Почему проверки Apple не всегда эффективны
Хотя Apple тщательно проверяет приложения перед публикацией, процесс не включает сканирование кода на наличие скрытых секретов или уязвимостей. Если приложение проходит тестирование без ошибок, оно может быть одобрено, даже если внутри содержатся чувствительные ключи или ссылки на уязвимости. Исправление таких проблем требует времени, ревизии кода и повторной проверки, что зачастую увеличивает задержки с выпуском обновлений и оставляет уязвимые версии в магазине.
На момент публикации компания Apple не прокомментировала данное исследование, однако эксперты советуют пользователям соблюдать осторожность.
Рекомендации по защите личных данных
- Проверяйте, сколько приложений имеют доступ к чувствительной информации, такой как геолокация, контакты, фотографии или микрофон, и удаляйте разрешения, которые не нужны для работы приложения.
- Удаляйте приложения, которыми давно не пользуетесь, чтобы снизить риск утечки данных. Для этого в настройках iPhone перейдите в раздел «Общие» — «Хранилище iPhone» и удалите лишние программы.
- По возможности ограничивайте ввод личной информации, не раскрывайте адреса, платежные данные или приватные переписки, особенно в AI-приложениях.
- Используйте менеджеры паролей для создания уникальных и сильных паролей для каждого сервиса, избегайте повторного использования учетных данных.
- Проверьте, не были ли ваши email-адреса скомпрометированы в известных утечках, и при необходимости смените пароли.
- Рассмотрите возможность использования сервисов по удалению личных данных из баз данных и сайтов, чтобы минимизировать риски мошенничества и кражи личности.
Заключение
Хотя App Store остаётся надежной платформой, исследования показывают, что многие приложения пренебрегают базовыми правилами безопасности, что создаёт угрозу для пользователей. Важно оставаться бдительным, контролировать разрешения и избегать передачи чувствительной информации в ненадёжных приложениях. В будущем потребуется улучшение системы проверки безопасности в магазине, чтобы снизить риск утечек и повысить уровень защиты данных.
Алексей "Gadgeteer" Беляев
Ваш персональный техно-стратег и цифровой шерпа в запутанных джунглях современных технологий. Он не только подвергает гаджеты самым суровым испытаниям, но и анализирует невидимые силы, движущие IT-индустрией. Его материалы — это не просто обзоры, а чёткая дорожная карта, которая помогает вам делать осознанный выбор и использовать технологии для улучшения жизни, а не наоборот.