Milióny aplikácií vystavujú riziku osobné údaje používateľov

Bezpečnostní experti spoločnosti Kaspersky Lab sledovali 13 miliónov aplikácií pochádzajúcich z oficiálnych zdrojov a zistili, že takmer štvrtina z nich prenáša používateľské údaje cez nechránené HTTP protokoly. Vo väčšine prípadov ide o údaje o zariadení a technické špecifikácie, úniky sa však týkali aj určenia polohy zariadenia, histórie vyhľadávaní či citlivých osobných údajov – ako telefónne číslo, meno alebo vek majiteľa zariadenia.

Analýza ďalej odhalila, že sledované aplikácie obsahujú tzv. SDK nástroje tretích strán využívané prevádzkovateľmi reklamných služieb. Niektoré z týchto aplikácií majú takmer pol miliardy sťahovaní po celom svete a je preto dosť možné, že takto získané údaje môžu byť zneužívané aj na rozsiahlejšie kybernetické útoky.

SDK predstavuje set vývojárskych nástrojov, ktoré sú vo väčšine prípadov distribuované bezplatne a umožňujú autorom softvéru sústrediť sa na najdôležitejšie časti aplikácie. Vývojári často používajú kód tretej strany, aby tak ušetrili čas použitím už existujúcej funkcionality. Týmto spôsobom sú napr. reklamné SDK schopné zbierať údaje o používateľovi za účelom lepšieho cielenia reklamy.

Hlbšia analýza týchto aplikácií však ukázala, že prenos týchto dát sa uskutočňuje cez nechránené http protokoly. Kvôli nedostatočnej ochrane a chýbajúcemu šifrovaniu sú osobné údaje používateľov vystavené obrovskému riziku. Prístup k ním tak môže získať ktokoľvek – či už cez nechránené Wi-Fi siete, poskytovateľa internetových služieb alebo aj cez malvér v domácom routri. Navyše, takto získané dáta môžu byť používané na ďalšie škodlivé aktivity a s ich pomocou sa do zariadenia môžu dostať podvodné verzie reklám infikované malvérom.

Na základe tohto výskumu sa bezpečnostným analytikom podarilo zostaviť rozsiahly zoznam dotknutých aplikácií a identifikovať množstvo hlavných domén, z ktorých väčšina patrí populárnym reklamným sieťam. Celkovo ide o milióny aplikácií, pričom takmer všetky z nich prenášajú týmto riskantným spôsobom aspoň jeden z týchto citlivých údajov:

  • Osobné údaje ako meno, vek či pohlavie používateľa. Rovnako môžu obsahovať aj informácie o príjme požívateľa, telefónne čísla, e-mailové adresy a ďalšie (vzhľadom na veľké množstvo citlivých údajov, ktoré používatelia nielen online zoznamiek neuvážene zdieľajú);
  • Informácie o zariadení, ako výrobcu, model alebo číslo zariadenia, rozlíšenie obrazovky, systémovú verziu či iné technické špecifikácie;
  • Polohu zariadenia, a teda aj používateľa.

„Spočiatku sme si mysleli, že ide len o pár špecifických prípadov nezodpovedne navrhnutých aplikácií. Naše očakávania však boli prekonané. V obehu sú milióny aplikácií, ktoré obsahujú SDK sety tretích strán prenášajúce citlivé údaje o používateľoch cez nechránené HTTP protokoly. Tým ich vystavujú obrovskému riziku nielen z pohľadu zneužitia zachytených údajov, ale môžu viesť k ďalším a rozsiahlejším malvérovým útokom, blackmailu alebo iným vysoko efektívnym útokom na zariadenia,“ komentoval zistenia výskumu Roman Unuchek, bezpečnostný expert spoločnosti Kaspersky Lab.

Pre zníženie rizika odporúčajú bezpečnostní analytici Kaspersky Lab uskutočniť tieto opatrenia:

  • Skontrolovať povolenia aplikácie. Nedávajte povolenia na prístup v prípadoch, ktoré nepovažujete za nevyhnutné alebo im nerozumiete. Väčšina aplikácií napr. nepotrebuje prístup k informáciám o vašej polohe, tak im tento prístup jednoducho odmietnite, a pod.
  • Používať bezpečné pripojenie, ideálne len tzv. VPN siete, pokiaľ to je možné. Tie sú schopné šifrovať prenos medzi zariadením a serverom.

Viac podobných článkov nájdete na www.podnikajte.sk


Kontroly GDPR v roku 2020 – kto ich môže čakať?

Koho si Úrad pre ochranu osobných údajov SR plánuje zobrať na mušku? Prezradil plán kontrol na rok 2020. V strehu by mali byť ubytovacie zariadenia, prevádzkovatelia STK či webhostingové firmy.

Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)

Aj po vyše roku a pol od účinnosti GDPR sa na internetových stránkach či e-shopoch nájdu neaktuálne a nesprávne informácie o ochrane osobných údajov. Aké sú najčastejšie chyby?

Platba mobilom (Google Pay, Apple Pay) - ako na to?

Ako funguje platba smartfónom? V čom sa líšia Google Pay a Apple Pay?

Verejná wifi a mobilné dáta – ako sa pripojiť bezpečne na internet?

Čo vám hrozí, ak používate verejnú wifi a čo radia odborníci, ak nemáte inú možnosť?
To najlepšie z Podnikajte.sk do vašej schránky