Предыдущая публикация
Российские iPhone под угрозой массового взлома из-за отечественных программистов
Они пишут небезопасные приложения
Веб-приложения, заменившие владельцам iPhone в России обычное ПО, переполнены дырами безопасности. В них почти отсутствует защита персональных данных, но альтернативы у них нет – Apple удаляет популярные российские приложения из App Store, поддерживая санкции Запада.Веб-небезопасность
Качество российских веб-приложений с точки зрения безопасности оказалось на очень низком уровне. Почти половина (около 46%) такого софта имеет массу уязвимостей, способствующих утечке персональных данных. Это большая проблема для владельцев смартфонов Apple iPhone, поскольку именно они вынуждены пользоваться таким софтом вместо полноценных приложений. Пользователей Android проблема тоже затрагивает, но в значительно меньшей степени.Веб-приложений работают прямо в браузере и по своим возможностям часто не уступают обычным приложениям. Чтобы пользователям было удобнее, разработчики даже делают для них схожие интерфейсы.
Как пишут «Известия» со ссылкой на ИБ-компанию «Солар», современные российские веб-приложения располагают к утечке данных, притом не только частных, но и корпоративных пользователей. Но владельцы iPhone в России вынуждены пользоваться ими, потому что Apple удаляет полноценные российские приложения из своего каталога App Store, очень рьяно поддерживая санкции США. А поскольку другого магазина приложений для iOS пока не существует, россиянам приходится переходить на веб-ПО, в том числе и банковское.
Пользоваться iPhone в России крайне небезопасно с точки зрения утечек персональных данных
Android-пользоватеолей эти трудности почти не касаются. В экосистеме Google нет запрета на пользование сторонними магазинами приложений, и потому удаленные из каталога Google Play российские утилиты всегда можно скачать, например, в отечественном магазине RuStore. Он работает с мая 2022 г
«Отсутствие контроля за правами допуска сотрудников может привести к тому, что внутренний или внешний нарушитель получает незаконный доступ к самому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонамеренных целях», – сказали изданию представители «Солар».
С шифрованием данных у современных российских веб-приложений тоже далеко не все гладко, равно как и с обработкой и хранением конфиденциальной информации. К таковой в «Солар» причисляют пароли, данные банковских карт и пр.
Также такие приложения, которые, казалось бы, не зависят от прихотей владельцев платформ, часто оказываются недоступными пользователям. Например, это происходит в результате атаки на сайт. Иногда подключиться к веб-приложению невозможно из-за рубежа.
Также взломанное веб-приложение, внешне кажущееся полностью легитимным, может перенаправлять пользователей на различные фишинговые сайты, которые тоже, как правило, выглядят вполне легальными. Такие сайты созданы для сбора персональных данных – логинов, паролей, номеров карт, адресов почты и пр. Это влечет за собой очень плохие последствия – например, получив доступ к данным о картах пользователя, злоумышленники могут полностью вывести с них все средства.
По его словам, очень часто приложения собирают пользовательские данные без уведомления. Он добавил также, что мобильный софт часто передает эту информацию «по открытым каналам», то есть без шифрования.
«При этом сам факт утечки доказать сложно: с равной вероятностью персональные и иные данные могут быть слиты как из веб-приложения, так и из базы данных того или иного госоргана — в частности, из какой-нибудь государственной информационной системы (ГИС), количество которых в России только на федеральном и региональном уровнях превышает 4 тыс.», – подытожил Коник.
Источник
Низкокачественная защита
Как сообщили изданию эксперты «Солар», свыше половины российских веб-приложений, которые они проанализировали, имели низкий или максимум средний уровень защищенности. Наибольшее количество вопросов у ИБ-специалистов вызывает плохой контроль доступа в таких приложениях – в 78% из них он очень далек от совершенства.«Отсутствие контроля за правами допуска сотрудников может привести к тому, что внутренний или внешний нарушитель получает незаконный доступ к самому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонамеренных целях», – сказали изданию представители «Солар».
С шифрованием данных у современных российских веб-приложений тоже далеко не все гладко, равно как и с обработкой и хранением конфиденциальной информации. К таковой в «Солар» причисляют пароли, данные банковских карт и пр.
Также такие приложения, которые, казалось бы, не зависят от прихотей владельцев платформ, часто оказываются недоступными пользователям. Например, это происходит в результате атаки на сайт. Иногда подключиться к веб-приложению невозможно из-за рубежа.
Потенциальные последствия
Низкий уровень безопасности российских веб-приложений чреват целой массой проблем для их пользователей. Например, через них хакеры могут установить на устройство вредоносное ПО, сообщила «Известиям» старший аналитик исследовательской группы Positive Technologies Анна Голушко.Также взломанное веб-приложение, внешне кажущееся полностью легитимным, может перенаправлять пользователей на различные фишинговые сайты, которые тоже, как правило, выглядят вполне легальными. Такие сайты созданы для сбора персональных данных – логинов, паролей, номеров карт, адресов почты и пр. Это влечет за собой очень плохие последствия – например, получив доступ к данным о картах пользователя, злоумышленники могут полностью вывести с них все средства.
Угроза повсюду
Опрошенные изданием эксперты отметили, что отказ от веб-приложений в пользу обычного мобильного ПО – вовсе не панацея для тех, кто хочет защититься от хакеров. «Не менее чем из половины веб-приложений периодически утекают персональные данные, а идентификаторы пользователя оказываются в руках злоумышленников еще чаще. Но и скачиваемые мобильные сервисы опасны», – заявил изданию управляющий партнер Comnews Research Леонид Коник.По его словам, очень часто приложения собирают пользовательские данные без уведомления. Он добавил также, что мобильный софт часто передает эту информацию «по открытым каналам», то есть без шифрования.
«При этом сам факт утечки доказать сложно: с равной вероятностью персональные и иные данные могут быть слиты как из веб-приложения, так и из базы данных того или иного госоргана — в частности, из какой-нибудь государственной информационной системы (ГИС), количество которых в России только на федеральном и региональном уровнях превышает 4 тыс.», – подытожил Коник.
Источник
Следующая публикация
Нет комментариев