Уразливість в додатку "парковки москви" дозволяє отримати дані користувача

Розробники мобільного застосування знехтували елементарними правилами безпеки і зберігають персональні дані у файлі налаштувань програми, а не в безпечної зв`язці ключів Keychain.
W440x0 picbig

В додатку "парковки Москви"Виявлена уразливість, що дозволяє зловмисникам отримати персональні дані користувачів, зокрема номер телефону і пароль від програми. Про це на конференції # {MBLT} Dev в ході своєї доповіді розповів експерт з комп`ютерної безпеки Андрій Беленко з компанії viaForensics




«Найчастіше більшість випадків крадіжок персональних даних користувачів відбувається через халатність розробників, які неналежним чином приховують в системі отриману інформацію користувача, помилково вважаючи, що в їхньому коді ніхто не зможе і не захоче розбиратися», - прокоментував слайди пан Беленко. При цьому отримати особисту інформацію, якщо вона належним чином не зашифрована, можна за 5-10 хвилин.

В iOS, мобільну операційну систему Apple, встановленої на всіх смартфонах і планшетах компанії, існує вбудований сервіс Keychain ( "Зв`язка ключів"), в якому зберігаються паролі і особиста інформація користувача. Будь-розробник може налаштувати свій додаток таким чином, що призначена для користувача інформація від Ця програма має також зберігатися в осередку Keychain, але, схоже, розробники, які склали додаток уряду Москви, полінувалися виконати пару простих маніпуляцій, і тому персональні дані виявилися безпосередньо в файлі налаштувань, так званому файлі plist, а значить доступні будь-якому професіоналу в області IT за пару кліків мишки.


Поділися в соц. мережах:

По темі:
Як подивитися збережені в safari паролі на iphone і ipad Як подивитися збережені в safari паролі на iphone і ipad
Як знайти збережені в safari паролі на iphone, ipad і mac Як знайти збережені в safari паролі на iphone, ipad і mac
У протоколі openssl знайдена критична уразливість У протоколі openssl знайдена критична уразливість
У смартфонах samsung знайдена небезпечна уразливість У смартфонах samsung знайдена небезпечна уразливість
У os x yosemite виявлена серйозна уразливість У os x yosemite виявлена серйозна уразливість
Уразливість в sparkle updater дозволяє отримати віддалений доступ до os x Уразливість в sparkle updater дозволяє отримати віддалений доступ до os x
Apple може читати листування користувачів imessage Apple може читати листування користувачів imessage
Ios 7 дозволяє стежити за діями користувачів Ios 7 дозволяє стежити за діями користувачів
Лабораторія касперського знайшла вразливість в сервісі google Лабораторія касперського знайшла вразливість в сервісі google
В internet explorer виявили серйозну уразливість В internet explorer виявили серйозну уразливість
У ios 7 gm зникла функція icloud keychain У ios 7 gm зникла функція icloud keychain
Уразливість обходу блокування в ios 7.0.2 Уразливість обходу блокування в ios 7.0.2
Експерти виявили критичну вразливість в "зв`язці ключів icloud" Експерти виявили критичну вразливість в "зв`язці ключів icloud"
В apple pay виявлена уразливість В apple pay виявлена уразливість
Уразливість ios 9 дозволяє обійти екран блокування Уразливість ios 9 дозволяє обійти екран блокування
Засновник wikileaks заявляє - вразливість в itunes дозволяє стежити за власниками iphone Засновник wikileaks заявляє - вразливість в itunes дозволяє стежити за власниками iphone
Apple зобов`яжуть зберігати призначені для користувача дані на території рф вже з 1 січня Apple зобов`яжуть зберігати призначені для користувача дані на території рф вже з 1 січня
Німецькі хакери виявили уразливість в пошуку spotlight Німецькі хакери виявили уразливість в пошуку spotlight
Анб вимагає від apple розкрити дані користувачів Анб вимагає від apple розкрити дані користувачів
«Зв`язка ключів icloud» в ios і os x схильна до критичної уразливості «Зв`язка ключів icloud» в ios і os x схильна до критичної уразливості
Компанія apple захистила своїх користувачів від спецслужб Компанія apple захистила своїх користувачів від спецслужб