Популярное приложение оказалось "шпионским": чьи данные под угрозой

Утечку данных в приложении Raw выявил портал TechCrunch. Как оказалось, приложение "сливало" имена пользователей, даты рождения, знакомства и сексуальные предпочтения пользователей Raw. Некоторые из данных включали координаты, позволяющие определись местоположение человека с точностью до улицы.

В издании отметили, что Raw позиционируется, как приложение для знакомств, которое предлагает "более искреннее" взаимодействие с другими людьми, отчасти за счет того, что просит пользователей ежедневно загружать селфи. На сегодняшний день в Google Play Store указано более 500 000 загрузок на Android.

Как Raw раскрывает личные данные

Эксперты обнаружили ошибку во время краткого тестирования приложения. Они установили Raw на виртуализированное устройство Android, создали учетную запись пользователя с фиктивными данными, такими как имя и дата рождения, и настроили местоположение виртуального устройства так, как будто она находится в музее в Маунтин-Вью (США, штат Калифорния). Также был предоставлен доступ к метаположению устройства.

TechCrunch обнаружил раскрытие данных в течение нескольких минут после использования Raw. Было выявлено, что приложение извлекает информацию о профиле пользователя напрямую с серверов компании, но сервер не защищал возвращаемые данные никакой аутентификацией.

Это значит, что любой мог получить доступ к личной информации другого пользователя, используя веб-браузер для посещения веб-адреса открытого сервера — api.raw.app/users/за которым следовал уникальный 11-значный номер.

Этот тип уязвимости известен как небезопасная прямая ссылка на объект (IDOR) — тип ошибки, который может позволить кому-то получить доступ или изменить данные на чужом сервере из-за отсутствия надлежащих проверок безопасности пользователя, получающего доступ к данным.

Как объясняют эксперты, ошибки IDOR можно сравнить с ситуацией, когда у человека есть ключ от личного почтового ящика, но этот ключ может отпереть и все остальные почтовые ящики на той же улице.

Утечка данных в Raw: реакция компании

Сообщается, что Raw устранила утечку данных после того, как журналисты связались с компанией и рассказали детали проблемы. Соучредитель приложения Марина Андерсон подтвердила, что компания не проводила сторонний аудит безопасности своего приложения.

Важно Смарт-телевизоры "шпионят" за владельцами: 5 настроек, которые лучше изменить

"Все ранее выявленные конечные точки были защищены, и мы внедрили дополнительные меры безопасности для предотвращения подобных проблем в будущем", — сказала Андерсон.

После того как Raw исправил ошибку, уязвимый сервер больше не возвращает пользовательские данные в браузере. Пока неизвестно, как долго приложение публично сливало данные своих пользователей. В Raw заявили, что компания "представит подробный отчет соответствующим органам по защите данных в соответствии с действующими правилами".