Популярные Android-приложения для наблюдения за детьми тайно отслеживают и родителей.
29 июня 2022 г.Исследователи обнаружили, что мобильные приложения, которые помогают людям следить за своими детьми, также передают данные родителей третьим лицам и, возможно, злоумышленникам.
Исследовательская группа Cybernews недавно внимательно изучила десять самых популярных приложений для отслеживания детей. По сути, это приложения для наблюдения, разработанные для родителей, которые опасаются за безопасность своих детей и хотят использовать свои мобильные устройства, чтобы убедиться, что они в безопасности.
В совокупности эти приложения скачали более 85 миллионов раз. Однако ни одно из них не получило наивысшей оценки за конфиденциальность, а одно приложение с более чем 50 миллионами установок было даже признано «критический риск».
Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.
Отслеживание трекеров
Исследователи объяснили, что одна из проблем с этими приложениями заключается в том, что они содержат сторонние трекеры, а это означает, что и дети, и родители собирают свои данные. Данные можно использовать для самых разных целей, но в основном они используются для таргетированной рекламы.
В то время как некоторые приложения содержали два трекера, некоторые были обнаружены с девятью трекерами.
Было обнаружено, что одно из приложений, которое также вошло в топ-50 бесплатных приложений в социальной категории в США, использует широковещательные приемники — компонент Android, который позволяет приложениям отвечать на сообщения, которые транслирует ОС.
Это означает, что другие приложения на устройстве могут получить доступ к трекеру, включая вредоносные приложения, что дает потенциальным злоумышленникам информацию о перемещении детей и родителей.
Кроме того, в этих приложениях небезопасно реализована обработка сертификатов Secure Sockets Layer (SSL), что делает их уязвимыми для атак типа «человек посередине». Другими словами, злоумышленники могут «подслушивать» данные, передаваемые между двумя приложениями.
Проблема, по мнению некоторых экспертов, заключается в том, что многие разработчики приложений не утруждают себя созданием надежного кода самостоятельно, а берут как можно больше от библиотеки с открытым исходным кодом, часто не обращая внимания на связанные с этим риски.
«Это похоже на изготовление дешевой колбасы, и вы не знаете, какие ингредиенты входят в ее состав. Проблема для конечного пользователя заключается в том, что вы действительно не знаете всего, что находится в приложении, или сколько разных сторон получают эту информацию", — сказал Cybernews Карим Хиджази, генеральный директор компании Prevailion, занимающейся киберразведкой.
Через Cybernews
Оригинал