Тысячи приложений для iOS передают данные пользователей и сливают ключи Stripe

Исследователи безопасности из Cybernews обнаружили тысячи приложений iOS с жестко закодированными секретами. Эти секреты могли быть использованы для утечки данных или мошенничества с переводами. Большинство секретов можно было игнорировать как малочувствительные.

Команда исследователей Cybernews обнаружила доказательства того, что тысячи приложений App Store оставили жестко закодированные секреты в своем коде, что привело к утечке конфиденциальной информации пользователей для киберпреступников. Исследователи проанализировали более 156 000 приложений iOS и обнаружили более 815 000 жестко закодированных секретов, тысячи из которых были «очень чувствительными и могли привести к прямым нарушениям или утечкам данных».

«Секрет» — это широкий термин, который включает в себя такие вещи, как API-ключи, пароли или ключи шифрования. «Жесткая кодировка» означает, что разработчики добавляют эти элементы непосредственно в исходный код. Общее мнение заключается в том, что они делают это из-за удобства в процессе производства и часто забывают удалить секреты после выхода приложения.

В среднем код приложения раскрывает 5,2 секрета, а 71% приложений утечкают хотя бы один секрет, сообщила Cybernews. Большинство этих секретов можно игнорировать, объяснили они, поскольку их нельзя использовать в криминальных атаках. Однако они обнаружили почти 83 000 жестко закодированных конечных точек хранения в облаке, 836 из которых не требуют аутентификации и могут привести к утечке более 400 ТБ данных. Они также обнаружили 51 000 конечных точек Firebase, «тысячи» из которых открыты для посторонних, а также тысячи раскрытых ключей для API Fabric, Live Branch, MobApp Cretor и других.

Однако самая большая проблема заключалась в секретных ключах Stripe, которые напрямую управляют финансовыми транзакциями. «Stripe широко используется компаниями электронной коммерции и даже финтех-компаниями для обработки онлайн-платежей», — пояснил Cybernews, прежде чем сообщить, что его команда обнаружила 19 секретных ключей Stripe.

«Многие люди считают, что приложения iOS более безопасны и реже содержат вредоносное ПО. Однако наши исследования показывают, что многие приложения в этой экосистеме содержат легкодоступные жестко закодированные учетные данные. Мы проследили путь и обнаружили открытые базы данных с личными данными и доступной инфраструктуре», — сказал Арас Назаровас, исследователь безопасности из Cybernews. «Некоторые разработчики iOS делают это слишком просто для хакеров».

Мы обратились в Apple за комментарием и обновим статью, когда получим ответ.