Во многом такая ситуация обусловлена ненадлежащим вниманием разработчиков к обеспечению безопасности данных своих клиентов.
В некоторых случаях разработчики не используют защиту паролем своих серверных баз данных, оставляют токены и ключи доступа в исходном коде приложения или применяют некорректные настройки для сторонних облачных сервисов (облачное хранилище, push-уведомления и пр.).
Команда Check Point в результате изучения 23 случайных приложений смогла расчехлить 13 из них и получить доступ к их внутренним базам, содержащим адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи экрана, учетные данные социальных сетей и личные изображения. При этом исследователи утверждают, что в ходе работы они не встретили никакого противодействия со стороны средств защиты.
Кроме того, Check Point удалось получить ключи доступа и скомпрометировать функцию push-уведомлений ряда приложений, которую потенциальный злоумышленник мог использовать для проведения эффективных фишинговых атак на пользователей приложения.
Учитывая, что Check Point озвучили не всех аутсайдеров исследования (Logo Maker, Astro Guru, T'Leva, Screen Recorder и iFax) можно предположить, что реальный масштаб бедствия не раскрывается, ведь в списке могут оказаться куда более популярные среди пользователей платформы.
На самом деле негативная тенденция сохраняется еще с 2010-х годов, показатели уязвимости инфраструктуры мобильных приложений не меняется уже последние три года, что подтверждается отчетами Zimperium (в марте этого года обнаруживших неправильно настроенные облачные серверы в тысячах приложений для Android и iOS) и Appthority
Использованная литература: источник