Компания Wandera, специализирующаяся на кибербезопасности, сообщила в своем отчете, что как минимум 23 приложения для конвертации файлов iOS (перевода в другие форматы), которыми пользуются три миллиона человек, не используют какое-либо шифрование, что может подвергнуть риску документы и файлы пользователей. Хотя все упомянутые приложения были созданы одним разработчиком, эксперты утверждают, что их находка поднимает более широкую проблему безопасности.
Студия разработки Cometdocs выпускает приложения, которые конвертируют документы из одного формата в другой. Например, из Word в PDF или из PDF в презентации Powerpoint. Проблема состоит в том, что само преобразование файлов происходит на сервере Cometdocs, поэтому исходные и преобразованные документы отправляются без какой-либо формы шифрования. Проще говоря, эти приложения предназначены для загрузки файлов на серверы разработчика перед их преобразованием и отправкой обратно пользователю.
Приложение позволяет пользователю авторизоваться в нескольких сервисах файлового хостинга, включая Gmail, iCloud, Dropbox, Google Drive, OneDrive и Box, чтобы загрузить файлы или сохранить полученные. В качестве альтернативы пользователь может загрузить файл со своего устройства напрямую.
Проблема в том, что приложения Cometdocs передают файлы без шифрования (просто через http), предоставляя злоумышленникам возможность кэшировать и получать файлы. Более того, мошенник запросто может получить доступ к файлам, отслеживая трафик в той же сети Wi-Fi, что и пользователь. Поскольку приложения не используют шифрование при передаче и хранении файлов на своих серверах, они позволяют частной информации попасть в руки третьих лиц.
Кстати, вы знали, что более половины бесплатных VPN из App Store небезопасны?
Кроме того, некоторые бесплатные приложения используют схему обмана: если пользователь не платил за конвертацию, его специально заставляют долго ждать, или предлагают заплатить, чтобы файл был преобразован мгновенно. Некоторые пользователи жалуются на ожидание 60-90 минут и более.
Схема обмана очень популярна в этих приложениях
Полный список уязвимых приложений для преобразования файлов iOS можно найти ниже. Пользуетесь одним из них? Расскажите в нашем Telegram-чате. Эксперты из Wandera связывались с разработчиком три раза за последние три месяца, но не получили ответа.
Одно из приложений Cometdocs
В развивающемся корпоративном сегменте проблема приобретает серьезный масштаб. В наше время сотрудники используют персональные устройства, которые имеют неограниченный доступ ко всем приложениям и сервисам, включая те, которые, по их мнению, безопасны для работы, в том числе облачные хранилища и конвертеры PDF. Бесконтрольный доступ к этим сервисам подрывается усилия по обеспечению безопасности облачных вычислений и предоставляет конфиденциальные данные, поскольку у ИТ-специалистов нет возможности контролировать, куда сотрудник загружает рабочие документы.
Организации с надлежащими решениями для управления мобильными устройствами должны блокировать корпоративные данные с помощью профилей конфигурации Apple для iOS, однако до сих пор не все компании используют их.
Многие приложения для конвертации файлов не используют шифрование
Читайте также
Последние новости