Изтеглянето на приложение от App Store изглежда като прост и безопасен процес, но проучване на Cybernews показва, че дори и в екосистемата на Apple, която се слави със своята висока сигурност потребителите не са застраховани: почти 75% от приложенията за iOS допускат изтичане на чувствителна информация.

Експертите са анализирали 156 000 приложения – около 8% от целия асортимент на Apple App Store. Оказало се, че 71% от тях разкриват поне една чувствителна тайна, като във всяко приложение са открити средно над 5 такива изтичания.

Проблемът се крие в навика на разработчицитe директно да вграждат в кода данни като API ключове, пароли, идентификатори на бази данни и токени за достъп.

Съхраняването на тайни в кода може да се сравни с наличието на ключ за къщата под изтривалката на вратата – просто трябва да знаете къде да търсите. И въпреки че тази практика отдавна е критикувана, разработчиците продължават да пренебрегват заплахата. Последствията могат да бъдат сериозни: дори едно изтичане на ключ може да даде на хакерите достъп до потребителски данни и облачни хранилища.

Някои от най-често срещаните тайни включват адреси на бази данни, връзки към облачни хранилища, идентификатори за услугите на Google, Facebook и Firebase. Например, Storage Bucket, открита в повече от 78 000 приложения дава възможност за четене или изтриване на файлове в облака при неправилна конфигурация, а повече от 42 000 приложения разкриват URL адреси на бази данни, което също позволява на нападателите да получат достъп до дневници за дейността, пароли и други потребителски данни.

Опасността се увеличава, ако в приложението едновременно изтекат допълнителни елементи като Google Project ID, Client ID, App ID, OAuth токени. Комбинирани, те позволяват на атаката да фалшифицира приложението, да претовари API, да открадне акаунти или да модифицира данни. Дори Facebook App ID и Client Token могат да се използват за създаване на фишинг приложения и изпращане на фалшиви заявки към Graph API от името на легитимен софтуер.

Тенденцията не се ограничава само до една платформа. По данни на GitGuardian през 2023 година потребителите на GitHub са разкрили по невнимание около 12,8 милиона идентификационни данни и други чувствителни тайни в повече от 3 милиона публични хранилища.

Проблемът е толкова мащабен, че вече се нарича основна заплаха за мобилните приложения. Доставчиците и хакерите са добре запознати с мащаба и лекотата на използване на подобни уязвимости, което прави ситуацията особено тревожна.

Показателен е и случаят с атаките срещу правителствени агенции. В края на 2024 година китайски хакери, подкрепяни от правителството проникнаха в Министерството на финансите на САЩ, използвайки компрометиран ключ за API на BeyondTrust. Инцидентът за пореден път потвърди, че дори един случайно поставен ред код може да доведе до катастрофа.

Подобни изтичания са особено опасни, тъй като откриването им отнема повече време, отколкото всеки друг вид атака. Според доклад на IBM за откриването на инцидент, включващ откраднати идентификационни данни са необходими средно 292 дни. През това време нападателите могат да действат безпрепятствено в мрежата.

С нарастването на броя на приложенията и обема на данните стойността дори на един пробив се увеличава драстично. Ето защо въпросът за сигурността на мобилните решения се нуждае от внимание сега повече от всякога – от архитектурата на приложенията до културата на програмиране.

През 2024 година друго проучване на Cybernews разкри рисковете за потребителите на Android, свързани с прекомерните разрешения в популярни приложения. Според експертите много от приложенията изискват значително повече достъп, отколкото е необходимо за функционирането им, което увеличава вероятността от изтичане на лични данни.