Десятки популярных приложений для iOS и Android уязвимы для взломщиков паролей

21 ноября 2020 |

При должном старании умелый хакер без особого труда получит доступ к вашему аккаунту в том или ином сервисе (например, SoundCloud, Wunderlist, Pocket, AutoCAD 360 и т.д.). Об этом сообщается в свежем отчете компании AppBugs, специализирующейся на защите от киберугроз.

iOS и Android

В AppBugs проверили 100 популярных приложений, количество загрузок которых перевалило за отметку в 1 млн. Исследователи брали программы с веб-версиями, защищенными специально созданным паролем. Как выяснилось, 53 из 100 сервисов разрешают пользователю вводить пароль неограниченное число раз. Это опасно для любого пользователя мобильного приложения – как только хакер узнает, что кодовое значение уязвимо, он сразу же может запустить процедуру подбора пароля.

Потенциальный масштаб угрозы впечатляет. Только из магазина Google Play уязвимые по версии AppBugs приложения уже скачали более 300 миллионов раз! Данных по iOS нет в общем доступе, но исследователи полагают, что цифры в App Store сравнимы с данными по Google Play. Иными словами, речь идет о более чем полумиллиарде пользователей!

Нельзя сказать, что разработчики не делают совсем ничего. Например, создатели Slack и Domino’s Pizza используют фаерволл WAF (Web Application Firewall) – он сбрасывает соединение, если с IP-адреса происходит порядка 40 обращений в минуту, сервис Expedia блокирует подключения с IP-адресов из «черного списка» (в том числе и из сети Tor). Но эти меры не могут остановить взломщика – они способны разве что задержать его атаку. В конце концов, злоумышленник может подключаться реже – например, не 40 раз в минуту, а 30. А найти новый IP-адрес вместо заблокированного – для профессионала дело нескольких минут, если не секунд.

Разумеется, возникает вопрос – сколько нужно времени на взлом аккаунта? В 2012 году исследователи на примере базы из 70 млн паролей показали, что степень защиты среднестатистического пароля равна 10-20 битам. Это означает, что хакеру понадобится от 1 024 до 1048576 попыток для того, чтобы взломать защиту. Если предположить, что в минуту преступник делает 30 попыток, то ему потребуется от получаса до 24 дней. Печальная статистика, отмечают в AppBugs – чтобы завладеть вашими данными, потребуется меньше месяца.

Защититься самостоятельно от угрозы взлома путем подбора паролей очень сложно. Не поможет ни отказ от программы, ни её удаление – данные все равно останутся на сервере. AppBugs рекомендует удалить аккаунт, а если такой опции в настройках нет, написать разработчикам письмо с просьбой об удалении ваших данных. Если пользоваться сервисом по-прежнему необходимо, следует создать новый аккаунт с надежным паролем длиной более 20 знаков. Но и он – не панацея: как вы уже наверняка заметили, при желании можно подобрать всё, что угодно.
iOS и AndroidИзменить ситуацию к лучшему могут только сами разработчики. Всё, что от них требуется сделать – ограничить количество попыток неправильного ввода пароля и временно блокировать аккаунт, если лимит превышен, до дальнейших разбирательств. AppBugs уже разослала результаты своего исследования авторам приложений с уязвимостью. Исследователи предупредили разработчиков: в случае, если через 30 (в исключительных случаях – 60) дней проблема не будет устранена, AppBugs обнародует наименования «ленивых» и не заботящихся о безопасности своих пользователей компаний.

Пока об исправлении уязвимости заявили только 3 из 53 разработчиков. В числе тех, кто «поработал над ошибками» – Wunderlist, Dictionary и Pocket, ещё 12 компаний уже опоздали – они либо проигнорировали уведомление от AppBugs, либо не успели ужесточить свою политику по безопасности. Полный список (за исключением компаний с особыми обстоятельствами) будет оглашен 30 июля.

Смотрите также: