partner serwisu

Aplikacje randkowe na Androida to łatwy cel ataków i kradzieży danych

Aplikacje randkowe na Androida to łatwy cel ataków i kradzieży danych
Autor:
Krzysztof Pojawa
Data publikacji:
27 lutego 2016, 05:30
Średnia ocena:
Twoja ocena:
Tagi:
android, aplikacje randkowe android, aplikacje randkowe na androida, bezpieczeństwo, cyberatak, cyberbezpieczeństwo, hacker, randki

Czy aplikacje randkowe są bezpieczne? O ile w kwestii bezpieczeństwa bezpośredniego, wynikającego z możliwości poznania dzięki nim bardzo różnych ludzi, odpowiedzieć się na to pytanie jednoznacznie nie da, to tyle patrząc na bezpieczeństwo przetwarzanych przez nie danych odpowiedź jest dość jasna. Jak wynika z badań przeprowadzonych przez amerykańską firmę Seworks, zajmującą się systemami bezpieczeństwa rozwiązań mobilnych, aplikacje randkowe na Androida (gdyż te zostały przebadane) nie są bezpieczne i stanowią łatwy cel dla cyberprzestępców. 

Zespół prowadzony przez Min-Pyo Honga, szefa Seworks, gruntownie przebadał pięć losowo wybranych aplikacji spośród dziesięciu najlepszych w sklepie Google Play. Jak się okazało, w przebadanej piąte nie znaleziono ani jednej aplikacji, która byłaby godna miana bezpiecznej, co jest tym bardziej niepokojące, kiedy zwrócimy uwagę, iż każda z nich była instalowana kilkanaście czy nawet kilkadziesiąt milionów razy, a odnalezione w nich luki bezpieczeństwa pozwalają na przeprowadzenie ataków podobnych do tego, którego celem w 2014 roku stał się Snapchat

Żeby zdać sobie sprawę z realności i poziomu zagrożenia, warto zapoznać się przynajmniej pobieżnie z metodologią badania przeprowadzonego przez Seworks. Zespół Honga po pobraniu każdej z aplikacji zdekompilowali ją - czyli z kodu binarnego przekształcili w prosty do zrozumienia przez programistów kod źródłowy - przy użyciu łatwo dostępnych w internecie narzędzi, dzięki możliwe było sprawdzenie jakości kodu i wyszukiwanie ewentualnych luk w zabezpieczeniach. Co się okazało? Przede wszystkim żadna aplikacja nie była zabezpieczona przed dekompilacją, a więc w praktyce dostęp do kodu źródłowego mógł uzyskać każdy, komu na tym zależało. A jeśli wiemy, w jaki dokładnie sposób aplikacja została napisana, to wiemy też (oczywiście o ile jesteśmy cyberprzestępcami lub analitykami Seworks), gdzie są jej słabe punkty i jak można je wykorzystać. A tych było sporo.

  • Po pierwsze, w żadnej z analizowanych aplikacji nie zastosowano metody bezpiecznej komunikacji z serwerami, co znacznie ułatwia przechwytywanie przesyłanych danych;
  • Po drugie, kod źródłowy nie był w żaden sposób zamaskowany, co pozwalało na bezproblemowe jego odczytanie każdemu, kto miał na to ochotę. Teoretycznie żeby to zrobić nie potrzeba nawet szczególnej wiedzy, gdyż w YouTube można znaleźć odpowiednie poradniki, pokazujące w jaki sposób dekompilować i odczytywać kod źródłowy aplikacji;
  • Po trzecie - tu aż chciałoby się zakląć szpetnie - w kilku przypadkach okazało się, że w kodzie aplikacji zawarto również dane identyfikacyjne i dane logowania aplikacji wykorzystywane do komunikacji z serwerami i usługami dodatkowymi. Oznacza to, że po ich odczytaniu co sprytniejsi cyberprzestępcy mogliby bez większych kłopotów dostać się do serwerów poszczególnych usług, a w efekcie między innymi do danych ich użytkowników.

Niebezpieczne aplikacje randkowe na Androida
Źródło: Seworks

Niebezpieczne aplikacje randkowe na Androida
Źródło: Seworks

Na powyższych obrazach widać wyraźnie (nie do końca - wrażliwe dane zostały zamaskowane), w jaki sposób poświadczenia dostępu zostały umieszczone w kodzie aplikacji. Znając je, moglibyśmy zalogować się do niektórych usług wykorzystywanych przez aplikację, której twórcy tak beztrosko je tu umieścili. Można to porównać do osoby, która wymyśla bardzo skomplikowany szyfr do sejfu, a następnie zapisuje go na kartce i nakleja na tymże sejfie tuż obok klawiatury zamka elektronicznego. To naprawdę nie jest bezpieczne rozwiązanie. A wystarczyłoby wykorzystać kilka niezbyt skomplikowanych technik - np. zabezpieczenie kodu przed nieautoryzowaną dekompilacją i szyfrowanie poświadczeń dostępu w kodzie - żeby poziom bezpieczeństwa aplikacji był zdecydowanie wyższy. 

A co z tego wynika dla użytkowników, którzy przecież nie mają wpływu na to, czy używane przez nich aplikacje nie stanowią zagrożenia dla ich danych? Rady mogą być jak zwykle te same: 

  • wykorzystujcie mocne hasła;
  • nie używajcie tego samego hasła do różnych usług;
  • nie przesadzajcie z podawaniem w tego typu aplikacjach zbyt wielu szczegółowych informacji o sobie, zwłaszcza takich, które w żadnym wypadku nie powinny dostać się w niepowołane ręce.
Ze względu na obowiązującą ciszę wyborczą funkcja komentowania została wyłączona do dn. 2019-05-26 godz. 21:00.