Apple позиционирует App Store как безопасное место для загрузки приложений, подчеркивая строгие проверки и закрытую систему защиты. Однако новые исследования ставят под сомнение эту репутацию, выявляя серьезные уязвимости в тысячах популярных iOS-приложений.
Обнаруженные уязвимости и их последствия
Аналитики из компании Cybernews исследовали код более 156 000 приложений для iPhone, что составляет около 8% всех доступных в мире программ. В результате они выявили, что многие из них содержат скрытые уязвимости, которые могут привести к утечке личных данных, информации о облачном хранилище и даже платежных систем.
Почему это опасно?
Основная проблема — это «жестко закодированные» секреты: пароли, API-ключи и токены доступа, размещённые прямо в коде приложений. Такие секреты легко извлечь из файла, что значительно облегчает работу злоумышленникам. По мнению экспертов, это сравнимо с написанием PIN-кода на обратной стороне карты — любому, кто откроет файл, станет ясно, как получить доступ к аккаунтам.
Риск для облачных хранилищ и пользовательских данных
Более 78 000 приложений содержали прямые ссылки на облачные хранилища, такие как Google Firebase, зачастую без какой-либо защиты. В результате в этих хранилищах оказалась конфиденциальная информация — файлы, фотографии, документы, а также регистрационные данные и системные логи. Многие из них были доступны без пароля, что позволяло любому желающему просматривать или скачивать эти данные.
Особенно опасные утечки и их масштабы
Более 51 000 Firebase-ссылок были найдены с открытым доступом, из них свыше 2 200 — без аутентификации. Это открывает возможность для злоумышленников просматривать личные данные пользователей, включая ключи доступа, что может привести к мошенничеству, взлому аккаунтов или финансовым преступлениям.
Особенно пострадали приложения, связанные с искусственным интеллектом. Например, Chat & Ask AI от Codeway раскрыл истории чатов, номера телефонов и адреса электронной почты миллионов пользователей. Аналогично, YPT — Study Group — сливал сообщения, ID и токены доступа.
Почему Apple не предотвращает такие утечки?
Хотя Apple проводит предварительную проверку приложений, она не проверяет код на наличие скрытых секретов. Если приложение ведет себя нормально во время тестирования, оно проходит модерацию, даже если внутри спрятаны уязвимости. Исправление таких ошибок — сложный и затратный процесс для разработчиков, что зачастую задерживает обновления и оставляет уязвимые версии в магазине.
Что можно сделать для защиты?
- Выбирайте приложения с проверенной историей и регулярными обновлениями.
- Ограничивайте доступ приложений к личной информации: отключайте ненужные разрешения.
- Удаляйте неиспользуемые приложения, чтобы снизить риск утечек.
- Используйте менеджеры паролей для создания уникальных и сложных паролей.
- Проверяйте, не были ли ваши учетные данные скомпрометированы в прошлых утечках, с помощью специальных сервисов.
Дополнительные меры безопасности
Рекомендуется избегать ввода чувствительных данных в AI-приложениях, пока разработчики не устранят обнаруженные уязвимости. Также важно следить за неожиданными письмами или уведомлениями о входе и платежах, чтобы своевременно заметить злоумышленные действия.
Несмотря на то, что App Store обеспечивает определенную защиту, текущие исследования показывают, что многие приложения могут скрывать критические уязвимости. Осведомленность и аккуратность — ваши лучшие инструменты для защиты личных данных в эпоху цифровых угроз.