Популярний додаток виявився "шпигунським": чиї дані під загрозою

Витік даних у додатку Raw виявив портал TechCrunch. Як виявилося, застосунок "зливав" імена користувачів, дати народження, знайомства і сексуальні уподобання користувачів Raw. Деякі з даних містили координати, що дають змогу визначити місце розташування людини з точністю до вулиці.

У виданні зазначили, що Raw позиціонується, як застосунок для знайомств, який пропонує "більш щиру" взаємодію з іншими людьми, частково за рахунок того, що просить користувачів щодня завантажувати селфі. На сьогодні в Google Play Store зазначено понад 500 000 завантажень на Android.

Як Raw розкриває особисті дані

Експерти виявили помилку під час короткого тестування програми. Вони встановили Raw на віртуалізований пристрій Android, створили обліковий запис користувача з фіктивними даними, такими як ім'я і дата народження, і налаштували місце розташування віртуального пристрою так, начебто він перебуває в музеї в Маунтін-В'ю (США, штат Каліфорнія). Також було надано доступ до метаположення пристрою.

TechCrunch виявив розкриття даних протягом декількох хвилин після використання Raw. Було виявлено, що застосунок витягує інформацію про профіль користувача безпосередньо з серверів компанії, але сервер не захищав дані, що повертаються, жодною аутентифікацією.

Це означає, що будь-хто міг отримати доступ до особистої інформації іншого користувача, використовуючи веб-браузер для відвідування веб-адреси відкритого сервера — api.raw.app/users/, за яким слідував унікальний 11-значний номер.

Цей тип уразливості відомий як небезпечне пряме посилання на об'єкт (IDOR) — тип помилки, який може дозволити комусь отримати доступ або змінити дані на чужому сервері через відсутність належних перевірок безпеки користувача, який отримує доступ до даних.

Як пояснюють експерти, помилки IDOR можна порівняти із ситуацією, коли у людини є ключ від особистої поштової скриньки, але цей ключ може відімкнути і всі інші поштові скриньки на тій самій вулиці.

Витік даних у Raw: реакція компанії

Повідомляється, що Raw усунула витік даних після того, як журналісти зв'язалися з компанією і розповіли деталі проблеми. Співзасновниця застосунку Марина Андерсон підтвердила, що компанія не проводила сторонній аудит безпеки свого застосунку.

Важливо Смарт-телевізори "шпигують" за власниками: 5 налаштувань, які краще змінити

"Усі раніше виявлені кінцеві точки були захищені, і ми впровадили додаткові заходи безпеки для запобігання подібних проблем у майбутньому", — сказала Андерсон.

Після того як Raw виправив помилку, вразливий сервер більше не повертає користувацькі дані в браузері. Наразі невідомо, як довго додаток публічно зливав дані своїх користувачів. У Raw заявили, що компанія "надасть детальний звіт відповідним органам із захисту даних відповідно до чинних правил".

Нагадаємо, деякі функції iPhone, увімкнені за замовчуванням, можуть стати серйозною проблемою в разі злому або втрати телефону.