Масштабное нарушение конфиденциальности в нишевых приложениях для знакомств раскрывает конфиденциальные фотографии пользователей
В рамках масштабного расследования недостатков безопасности в приложениях для iOS, Cybernews обнаружил вопиющие проблемы, которые могли привести к массовой утечке частных фотографий из ряда нишевых приложений для знакомств, и все они были сделаны одним M.A.D. Mobile. Эти изображения были не только из публичных профилей и сообщений, но и из пользовательских чатов, и даже из тех, что были удалены модераторами. Нет нужды говорить, что многие из этих фотографий были откровенными по своей природе.
Пострадали пять приложений от M.A.D. Mobile - BDSM People, роскошное приложение "сахарных знакомств" Chica, а также ЛГБТ-приложения Pink, Brish и Translovefound. Все эти приложения не только использовали идентичную архитектуру, но и оставляли важные учетные данные безопасности в открытом виде в коде приложений. Именно эти секретные ключи привели исследователей к ведрам облачного хранилища Google, где лежали фотографии без какого-либо шифрования или защиты паролем. Это означало, что любой, у кого есть URL-адрес, который был открыт для публичного доступа, мог получить доступ к этим материалам.
Конечно, в любой момент, когда частные фотографии потенциально могут быть открыты для злоумышленникамсуществует риск преследований, вымогательства и ущерба репутации. Однако последствия нарушения конфиденциальности вероятно, для пользователей специализированных приложений для знакомств последствия будут гораздо хуже, особенно с учетом того, что гомосексуальность во многих странах запрещена законом.
Масштабы утечки поражают - более 1,5 миллионов загруженных пользователями фотографий, или несколько сотен гигабайт данных. Небольшое счастье, что обнародованные данные не содержали личных данных пользователей, имен пользователей, электронных писем или сообщений, но простой обратный поиск по изображениям легко справится с этой задачей. Примечательно, что все пять приложений предназначены исключительно для iOS, без Android или веб-версии.
Исследователи из Cybernews впервые связались с M.A.D. Mobile в январе, но утечка так и осталась без внимания. Опасаясь дальнейшего бездействия со стороны компании и вопреки собственной стандартной практике, Cybernews решил опубликовать отчет https://cybernews.com/security/ios-dating-apps-leak-private-photos/ о проблеме до того, как она была устранена. Только после того, как BBC отправил электронное письмо представитель компании ответил, что проблема действительно устранена, и поблагодарил исследователей за помощь.
Этот инцидент лишь подчеркивает то, что уже известно многим специалистам в области кибербезопасности: сторонние приложения для iOS ни в коем случае не являются по своей сути безопасными от утечки данных. На самом деле, расследование Cybernews привело к обескураживающим выводам. Из 156 000 приложений, которые были проверены (или 8% всех приложений в магазине Apple ), оказалось, что 71% приложений раскрывают как минимум один секрет. Код среднего приложения раскрывал 5,2 секрета.
Самый главный вывод из этого инцидента заключается в том, что пользователям следует избегать использования приложений от незнакомых издателей, особенно если речь идет о конфиденциальной информации. В частности, делиться конфиденциальной информацией следует только на зашифрованных платформах и сервисах, которые обеспечивают не только определенную степень защиты, но и публичную подотчетность.
