Тысячи Android и iOS-приложений оставляют пользовательские данные уязвимыми в облаке

По подсчётам исследователей, около 84 тысяч Android-приложений и 47 тысяч iOS-приложений используют не собственные серверы, а публичные облачные платформы, такие как AWS, Google Cloud и Microsoft Azure. В 14% случаев были найдены ошибки в конфигурации инфраструктуры: под угрозой находится безопасность персональных данных пользователей, паролей, медицинской и другой информации из 11877 приложений для Android и 6608 приложений для iOS.

Исследователи сообщили о находке владельцам некоторых приложений, но практически никто из них не отреагировал. Данные многих приложений всё ещё не защищены и свободно доступны для всех желающих. По этой причине Zimperium не публикует их названия. Так или иначе, связаться с каждым разработчиком было бы довольно сложно. 

Рассмотренные экспертами приложения насчитывают от нескольких тысяч до миллионов юзеров. Среди них — мобильный кошелёк компании из списка Fortune 500, который оставил в открытом доступе сессионные и финансовые данные своих клиентов, транспортное приложение одного большого города, которое разбрасывает платёжные данные пассажиров, и медицинское приложение с результатами анализов и фотографиями из пользовательских профилей.

С учётом количества обнаруженных приложений, компания не пыталась определить, были ли их данные уже скомпрометированы или задействованы в атаках. 

Ко всему прочему, говорят эксперты Zimperium, в некоторых случаях неправильные конфигурации обеспечивали хакерам доступ ко внутренним системам разработчиков этих приложений, а также позволяли менять и переписывать данные.

В Zimperium надеются, что доклад привлечёт внимание разработчиков к теме и заставит внимательнее изучить свою инфраструктуру и исправить возможные проблемы.