Специалисты по информационной безопасности из Symantec Юаньцзинь Го и Томми Донг сообщили, что изучили ряд приложений для Android и iOS и нашли, по сути, примитивные и потому наиболее критические огрехи в обеспечении конфиденциальности.

По словам экспертов, налицо «ленивый подход» в разработке. Проблема в том, что в кодовой базе ряда приложений, как в Google Play, так и в App Store, они нашли жёстко заданные учётные данные, включая незашифрованные логины и пароли от различных облачных сервисов.

Подобная брешь значительно повышает риск взлома приложений в силу облегчения работы злоумышленников.

Эксперты перечислили приложения, в которых нашли указанные проблемы:

• The Pic Stitch — Android-приложение, которое оценили более пяти млн пользователей, позволяет редактировать коллажи; содержит плохо читаемый код с заключёнными учётными данными от хранилища Amazon S3.

• Crumbl — iOS-приложение, через которое заказывают сладости; раскрывает данные AWS в виде простого текста, в том числе ключ доступа и секретный ключ.

• Eureka — софт для опросов, оценённый почти 500 тысячами пользователей; также содержит жёстко заданные в кодовой базе логины и пароли.

• Videoshop — видеоредактор, в коде которого заключены открытые учётные данные AWS, благодаря этому можно заполучить доступ к бэкенду и выкрасть данные.

• Sulekha Business — приложение для привлечения потенциальных клиентов; имеет ту же проблему — содержатся логины и пароли от облачного сервиса Azure.

Много других аппов ориентированы на западную аудиторию и Индию.