Trešo pušu koda dēļ miljoniem lietotņu riskē atklāt personas datus

Programmatūras izstrādes komplekts (SDK) ir izstrādes rīku kopums, kas bieži tiek izplatīts par brīvu. Tas ļauj programmatūras autoriem pievērsties programmatūras galvenajiem elementiem, bet citas funkcijas uzticēt gatavajiem programmatūras izstrādes komplektiem. Izstrādātāji bieži izmanto trešu pušu kodu, lai ietaupītu laiku, lietotnes daļas veidošanā atkārtoti izmantojot pastāvošo funkcionalitāti. Piemēram, reklāmas programmatūras izstrādes komplekti vāc lietotāju datus, lai parādītu piemērotas reklāmas, tādējādi palīdzot izstrādātājiem gūt peļņu no sava izstrādājuma. Šie komplekti sūta lietotāju datus uz populāru reklāmas tīklu domēniem, lai reklāmas tiktu parādītas mērķtiecīgāk.

Taču lietotņu padziļināta analīze ir parādījusi, ka dati tiek nosūtīti nešifrētā veidā un izmantojot HTTP — tas nozīmē, ka ceļā uz serveriem tie nav aizsargāti. Tā kā dati netiek šifrēti, tos var pārtvert ikviens: izmantojot neaizsargātu Wi-Fi, interneta pakalpojumu sniedzējs vai ar ļaunprogrammatūru mājas maršrutētājā. Vēl ļaunāk — pārtvertos datus var arī modificēt, un tas nozīmē, ka lietotne rādīs nevis likumīgas, bet kaitīgas reklāmas. Tad lietotāji tiks aicināti lejupielādēt reklamēto lietotni, kas izrādīsies viņus apdraudoša ļaunprogrammatūra.

Pētnieki pārbaudīja lietotņu žurnālus un tīkla datplūsmu iekšējā Android izmēģināšanas vidē, lai noskaidrotu, kuras lietotnes pārsūta tīkliem nešifrētus lietotāju datus, izmantojot HTTP. Viņi konstatēja vairākus nozīmīgus domēnus, no kuriem lielākā daļa ietilpst populāros reklāmas tīklos. Šos programmatūras izstrādes komplektus izmantojošo lietotņu kopskaits ir vairāki miljoni, un lielākā daļa no tām nešifrētā veidā pārsūta vismaz vienus no šo veidu datiem:

• personisko informāciju, galvenokārt lietotāja vārdu, vecumu un dzimumu; var ietvert pat lietotāja ienākumus; var noplūst arī tālruņa numurs un e-pasta adrese (cits Kaspersky Lab pētījums liecina, ka iepazīšanās lietotnēs ļaudis publicē ļoti daudz personiskās informācijas);

• informāciju par ierīci, piemēram, ražotājs, modelis, ekrāna izšķirtspēja, sistēmas versija un lietotnes nosaukums;

• ierīces atrašanās vietu.

«Apjoms tam, ko mēs sākotnēji uzskatījām tikai par dažiem atsevišķiem bezrūpīgas lietotņu izstrādes gadījumiem, ir milzīgs. Miljoniem lietotņu ietver trešu pušu programmatūras izstrādes komplektus, atklājot privātus datus, ko var viegli pārtvert un modificēt, izraisot inficēšanos ar ļaunprogrammatūru, šantāžu un citus ļoti efektīvus uzbrukumu virzienus jūsu ierīcēs,» sacīja Kaspersky Lab drošības pētnieks Romāns Unučeks.

Pētnieki iesaka lietotājiem veikt šos pasākumus.

• Pārbaudiet lietotnes atļaujas. Nepiešķiriet piekļuvi kaut kam, ja nesaprotat, kāpēc tas ir vajadzīgs. Lielākajai daļai lietotņu nav vajadzīga piekļuve jūsu atrašanās vietai, tāpēc nepiešķiriet to.

• Izmantojiet virtuālo privāto tīklu (VPN). Tas šifrēs tīkla datplūsmu starp jūsu ierīci un serveriem, taču tā paliks nešifrēta aiz VPN serveriem, bet vismaz procesa laikā noplūdes risks ir samazināts.