Osam Android i iOS aplikacija ne uspijevaju adekvatno zaštititi korisničke podatke, koji prenose osjetljive informacije, kao što su detalji o uređaju, geolokacija i krednecijale , preko HTTP protokola umjesto HTTPS-a.
Ostavlja podatke izložene potencijalnim napadima poput krađe podataka, prisluškivanja i napada čovjeka u sredini. Šifrovanje je osnovna sigurnosna mjera za zaštitu korisničkih podataka, ali čini se da je mnogi programeri aplikacija pogrešno implementiraju.
Osam Android i iOS aplikacija
- Klara Vrijeme (Android)
- Military Dating App – MD Date (iOS)
- Sina Finance (Android)
- CP Plus Intelli Serve (Android)
- Latvijas Pasts (Android)
- HaloVPN: brzi sigurni VPN proxy (iOS)
- i-Boating: pomorske karte i GPS (iOS)
- Texas Storm Chasers (iOS)
Klara Weather i Military Dating aplikacije predstavljaju značajne sigurnosne rizike zbog njihovog nešifrovanog prijenosa podataka, gdje Klara Weather propušta podatke o geolokaciji korisnika preko HTTP-a, otkrivajući osjetljive informacije o privatnosti.
U međuvremenu, aplikacija Military Dating šalje korisnička imena i lozinke nešifrovane, što ih čini ranjivim na presretanje i narušavanje, što bi potencijalno moglo dovesti do neovlaštenog pristupa ličnim podacima, krađe identiteta ili drugih zlonamjernih aktivnosti.
Android aplikacije Sina Finance i CP Plus Intelli Serve predstavljaju značajne sigurnosne rizike curenjem osjetljivih informacija o uređaju, uključujući ID uređaja, verziju SDK-a i IMEI, preko nešifriranih HTTP veza, što korisnike izlaže potencijalnom praćenju i profiliranju.
CP Plus Intelli Serve prenosi korisnička imena i lozinke u običnom tekstu, što ih čini ranjivim na presretanje i krađu. Obje aplikacije ne implementiraju osnovne sigurnosne mjere, kao što je HTTPS enkripcija, kako bi zaštitile korisničke podatke, ostavljajući korisnike izložene kršenju privatnosti i sigurnosti.
Latvijas Pasts i HaloVPN, popularne mobilne aplikacije sa preko 100.000 odnosno 13.300 preuzimanja, predstavljaju značajne sigurnosne rizike zbog svog nešifrovanog prijenosa osjetljivih korisničkih podataka.
Analiza mrežnog saobraćaja i inspekcija koda otkrili su da Latvijas Pasts propušta geolokaciju korisnika preko HTTP-a, dok HaloVPN otkriva informacije o uređaju, uključujući ID uređaja, jezik, model, ime, vremensku zonu i detalje o SIM kartici.
Utvrđeno je da mobilne aplikacije i-Boating: Marine Charts & GPS i Texas Storm Chasers prenose osjetljive korisničke podatke preko nešifrovanih HTTP veza.
Konkretno, i-Boating šalje informacije o uređaju kao što su tip i verzija OS-a, dok Texas Storm Chasers prenosi geolokaciju korisnika, što korisnike izlaže potencijalnim sigurnosnim rizicima, kao što su prisluškivanje i presretanje podataka, jer zlonamjerni hakeri mogu lako pristupiti njihovim ličnim podacima.
Tekući problem nešifrovanog prenosa podataka u mobilnim aplikacijama predstavlja značajne sigurnosne rizike za korisnike. Programeri se pozivaju da daju prioritet sigurnosti aplikacija korištenjem HTTPS-a za sav mrežni promet, šifriranjem osjetljivih podataka, provođenjem redovnih sigurnosnih revizija i oprezom u pogledu zaštite korisničkih podataka.
Symantec savjetuje korisnicima da zaštite svoje mobilne uređaje od prijetnji instaliranjem renomirane sigurnosne aplikacije, izbjegavanjem preuzimanja aplikacija iz nepouzdanih izvora, održavanjem ažuriranog softvera, pažljivim pregledom dozvola za aplikacije i redovnim sigurnosnim kopiranjem ključnih podataka, što može značajno smanjiti rizik kompromitacije mobilnog uređaja.
Izvor: CyberSecurityNews