Κίνδυνος διαρροής προσωπικών δεδομένων από εκατομμύρια εφαρμογές λόγω third-party κώδικα

Ενώ ανέλυαν δημοφιλείς εφαρμογές online dating, οι ερευνητές της Kaspersky Lab διαπίστωσαν ότι μερικές μεταδίδουν μη κρυπτογραφημένα δεδομένα χρήστη μέσω του επισφαλούς πρωτοκόλλου HTTP, διακινδυνεύοντας την έκθεση των δεδομένων χρήστη. Αυτό οφείλεται στο γεγονός ότι μερικές εφαρμογές χρησιμοποιούν έτοιμα διαφημιστικά SDKs, τα οποία είναι μέρος κάποιων από τα πιο δημοφιλή διαφημιστικά δίκτυα. Οι εμπλεκόμενες εφαρμογές περιλαμβάνουν ορισμένες με δισεκατομμύρια εγκαταστάσεις παγκοσμίως και ένα σοβαρό σφάλμα ασφάλειας σημαίνει ότι τα ιδιωτικά δεδομένα θα μπορούσαν να υποκλαπούν, να τροποποιηθούν και να χρησιμοποιηθούν σε περαιτέρω επιθέσεις, αφήνοντας πολλούς χρήστες ανυπεράσπιστους.

Ένα SDK είναι ένα σύνολο εργαλείων development, τα οποία συχνά διανέμονται δωρεάν και επιτρέπουν στους δημιουργούς λογισμικού να εστιάζουν στα βασικά στοιχεία μιας εφαρμογής, ενώ εμπιστεύονται άλλα χαρακτηριστικά σε έτοιμα SDKs. Οι προγραμματιστές συχνά χρησιμοποιούν κώδικα τρίτου κατασκευαστή για να εξοικονομήσουν χρόνο επαναχρησιμοποιώντας την υπάρχουσα λειτουργικότητα για να δημιουργήσουν μέρος της εφαρμογής. Για παράδειγμα, τα SDK διαφημίσεων συλλέγουν δεδομένα χρηστών για να εμφανίζουν σχετικές διαφημίσεις, βοηθώντας έτσι τους προγραμματιστές να δημιουργούν έσοδα από το προϊόν τους. Τα κιτ στέλνουν δεδομένα χρήστη στα domains δημοφιλών διαφημιστικών δικτύων για πιο στοχευμένη προβολή διαφημίσεων.

Ωστόσο, βαθύτερη ανάλυση των εφαρμογών έδειξε ότι τα δεδομένα αποστέλλονται χωρίς κρυπτογράφηση και μέσω του HTTP, που σημαίνει ότι είναι απροστάτευτα όταν μεταφέρονται στους servers. Λόγω της απουσίας κρυπτογράφησης, τα δεδομένα μπορούν να υποκλαπούν από οποιονδήποτε – μέσω μη προστατευμένου Wi-Fi, από τον Πάροχο Υπηρεσιών Διαδικτύου ή μέσω κακόβουλου λογισμικού σε οικιακό router. Ακόμα χειρότερα, τα δεδομένα που έχουν υποκλαπεί μπορούν επίσης να τροποποιηθούν, πράγμα που σημαίνει ότι στην εφαρμογή θα εμφανίζονται κακόβουλες διαφημίσεις αντί νόμιμων. Στη συνέχεια, οι χρήστες θα δελεαστούν ώστε να «κατεβάσουν» μια διαφημιζόμενη εφαρμογή, η οποία θα αποδειχθεί ότι είναι κακόβουλο λογισμικό και τους θέτει σε κίνδυνο.

Οι ερευνητές της Kaspersky Lab εξέτασαν τα αρχεία καταγραφής και την κίνηση δικτύου εφαρμογών στο εσωτερικό Android Sandbox για να ανακαλύψουν ποιες εφαρμογές μεταδίδουν μη κρυπτογραφημένα δεδομένα χρήστη σε δίκτυα μέσω HTTP. Εντοπίστηκαν αρκετά σημαντικά domains, εκ των οποίων τα περισσότερα αποτελούν τμήμα δημοφιλών διαφημιστικών δικτύων. Ο αριθμός των εφαρμογών που χρησιμοποιούν αυτά τα SDK ανέρχεται σε αρκετά εκατομμύρια, με τις περισσότερες από αυτές να μεταδίδουν τουλάχιστον ένα από τα παρακάτω στοιχεία δεδομένων με μη κρυπτογραφημένο τρόπο:

• Προσωπικές πληροφορίες, κυρίως όνομα χρήστη, ηλικία και φύλο. Μπορεί να περιλαμβάνει ακόμη και το εισόδημα του χρήστη. Ο αριθμός τηλεφώνου και η διεύθυνση email τους θα μπορούσε επίσης να διαρρεύσει (οι άνθρωποι μοιράζονται πολλές προσωπικές πληροφορίες στις εφαρμογές online dating, σύμφωνα με άλλη μελέτη της Kaspersky Lab.
• Πληροφορίες συσκευής, όπως ο κατασκευαστής, το μοντέλο, η ανάλυση οθόνης, η έκδοση συστήματος και το όνομα εφαρμογής.
• Τοποθεσία εφαρμογής.

Όπως δήλωσε ο Roman Unuchek, ερευνητής ασφάλειας στην Kaspersky Lab.

“Όταν ξεκινήσαμε την έρευνά μας θεωρούσαμε ότι θα συναντήσουμε μερικές συγκεκριμένες περιπτώσεις απρόσεκτου σχεδιασμού εφαρμογών, αλλά η πραγματική εικόνα μάς εξέπληξε αρνητικά. Εκατομμύρια εφαρμογές περιλαμβάνουν SDK τρίτων κατασκευαστών, εκθέτοντας ιδιωτικά δεδομένα που μπορούν εύκολα να υποκλαπούν και να τροποποιηθούν – οδηγώντας σε «μολύνσεις» από κακόβουλο λογισμικό, εκβιασμούς και άλλους πολύ αποτελεσματικούς φορείς επίθεσης στις συσκευές σας”

Οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες να λαμβάνουν τα εξής μέτρα:

• Ελέγξτε τα δικαιώματα της εφαρμογής σας. Μην παραχωρήσετε πρόσβαση σε κάτι αν δεν καταλαβαίνετε γιατί. Οι περισσότερες εφαρμογές δεν χρειάζονται πρόσβαση στην τοποθεσία σας, οπότε μην την παραχωρείτε.
• Χρησιμοποιήστε ένα VPN. Θα κρυπτογραφήσει την κίνηση δικτύου μεταξύ της συσκευής σας και των servers. Ωστόσο, θα παραμείνει μη κρυπτογραφημένη πίσω από τους VPN servers, αλλά τουλάχιστον ο κίνδυνος διαρροής μειώνεται κατά τη διαδικασία.