| 8 марта 2016 г. — 9:15 PT
Пользователям сторонних приложений Snapchat, возможно, стоит удалить их и как можно скорее сменить пароли в социальной сети. Новые данные, опубликованные сегодня, указывают на то, что множество сторонних приложений Snapchat отправляют копии учетных данных пользователей по незащищенным соединениям на свои собственные серверы.
Уилл Страфах из Sudo Security Group обнаружил, что эти приложения собирают учетные данные Snapchat во время исследования безопасности приложений. Предстоящая система аналитики мобильных приложений его компании, Verify.ly, сканирует приложения, чтобы выяснить, уважают ли они конфиденциальность пользователей и используют ли безопасные методы передачи данных через Интернет. В ходе своего исследования ему удалось обнаружить несколько приложений, которые в настоящее время передают учетные данные Snapchat по незащищенным соединениям.
Первым приложением, которое он заметил, был Snapix — приложение, которое может загружать изображения из галереи пользователя в его историю Snapchat или напрямую друзьям. Страфах обнаружил, что когда пользователь вводит свои учетные данные для входа в Snapchat в Snapix, эта информация передается по незащищенному соединению на собственный сервер Snapix, прежде чем передать учетные данные Snapchat. Это позволяет приложению собирать учетные данные пользователя, одновременно выполняя вход пользователя в Snapchat.
Уже плохо то, что они отправляют учетные данные по незащищенному соединению, но нет никакого законного основания для отправки копии на свои серверы. Передача данных по незащищенному соединению означает, что любые учетные данные могут быть перехвачены, когда приложение работает в общедоступной сети Wi-Fi. Это означает, что любой злоумышленник в аэропорту, кафе, отеле, школе или даже в корпоративной сети Wi-Fi может перехватить учетные данные и делать с ними все, что захочет. Эта проблема безопасности была сообщена Apple и может быть найдена по адресу rdar://problem/24986994.
Обнаружив небезопасность Snapix, Страфах решил поискать другие проблемы со схожими закономерностями. Он нашел два других приложения — Quick Upload и SnapBox — которые также отправляют информацию через незащищенное соединение в открытом тексте.
Что еще хуже, оба этих, казалось бы, разных приложения от разных разработчиков отправляли информацию на один и тот же сервер — «likepotion.topranksoft.com». Более того, SnapBox по неизвестным причинам также отправляет точное GPS-местоположение пользователя на сервер. Это показывает, что даже когда пользователь начинает думать, что он использует «более новое» или «более безопасное» стороннее приложение, он все равно может оказаться в экосистеме вредоносного разработчика.
Всего четыре месяца назад мы сообщали о недавнем стороннем приложении Instagram, которое было удалено из App Store за то же самое. Наш совет: не используйте сторонние приложения, которые обещают дополнительную функциональность и «взломы» поверх вашего опыта в социальных сетях. Большинство из них не используют авторизованные методы для аутентификации в сервисе, подвергая пользователя злонамеренным намерениям. Легитимные приложения будут пытаться аутентифицироваться с использованием OAuth, сначала предоставляя возможность входа через Safari, или отображая Safari View Controller, как популярные сторонние клиенты Twitter. Лучший способ для пользователя защитить свои учетные данные от кражи, когда OAuth не используется, — это исключительно использовать официальные приложения от первого разработчика.
Эти проблемы поднимают вопрос о том, насколько это проблема команды проверки App Store, и насколько это проблема пользователя. Кажется, в App Store возникнет дихотомия: пользователи захотят, чтобы больше приложений было принято в App Store, но они также хотят, чтобы приложения тщательно проверялись на безопасность. Внедрение такой системы, как Verify.ly Страфаха, вполне может стать решением, которое использует Apple. Автоматизация обнаружения потенциальных уязвимостей может помочь сделать процесс проверки App Store более строгим, но в целом сделает пользователя более защищенным.
После того, как команда проверки App Store выполнит свою работу, безопасность и защита в конечном итоге снова попадают в руки пользователя. Пользователей следует обучать лучшим практикам безопасности и развивающимся способам их нарушения. Завтра может появиться новое приложение для социальных сетей, а вскоре за ним — его сторонний вариант. Как пользователь узнает, является ли сторонний вариант надежным, не говоря уже о том, что оригинальное приложение первого разработчика использует безопасные практики?
Очень возможно, что Apple станет еще строже относиться к тому, как данные приложений iOS передаются через Интернет. Уже внедрив App Transport Security с iOS 9, они, по крайней мере, начали подталкивать разработчиков в более безопасном направлении. Именно когда другие разработчики пытаются обойти действующие практики, проблемы могут снова возникнуть.
После запуска Verify.ly будет предоставлять пользователям ограниченную информацию, связанную с соединениями, бесплатно, позволяя им лучше понять приложение перед его использованием. Если у вас есть какие-либо конкретные приложения, которые, по вашему мнению, команда Страфаха должна проанализировать, сообщите нам в комментариях ниже, и мы отправим их им.
Мы обратились к Snapchat за дополнительной информацией и запросами и обновим статью, как только получим ответ.