Следующая новость
Предыдущая новость

23 приложения для преобразования файлов на iOS оказались небезопасны

22.02.2020 14:52
23 приложения для преобразования файлов на iOS оказались небезопасны

Компания Wandera, специализирующаяся на кибербезопасности, сообщила в своем отчете, что как минимум 23 приложения для конвертации файлов iOS (перевода в другие форматы), которыми пользуются три миллиона человек, не используют какое-либо шифрование, что может подвергнуть риску документы и файлы пользователей. Хотя все упомянутые приложения были созданы одним разработчиком, эксперты утверждают, что их находка поднимает более широкую проблему безопасности.

Студия разработки Cometdocs выпускает приложения, которые конвертируют документы из одного формата в другой. Например, из Word в PDF или из PDF в презентации Powerpoint. Проблема состоит в том, что само преобразование файлов происходит на сервере Cometdocs, поэтому исходные и преобразованные документы отправляются без какой-либо формы шифрования. Проще говоря, эти приложения предназначены для загрузки файлов на серверы разработчика перед их преобразованием и отправкой обратно пользователю.

Чем опасны конвертеры файлов

Приложение позволяет пользователю авторизоваться в нескольких сервисах файлового хостинга, включая Gmail, iCloud, Dropbox, Google Drive, OneDrive и Box, чтобы загрузить файлы или сохранить полученные. В качестве альтернативы пользователь может загрузить файл со своего устройства напрямую.

Проблема в том, что приложения Cometdocs передают файлы без шифрования (просто через http), предоставляя злоумышленникам возможность кэшировать и получать файлы. Более того, мошенник запросто может получить доступ к файлам, отслеживая трафик в той же сети Wi-Fi, что и пользователь. Поскольку приложения не используют шифрование при передаче и хранении файлов на своих серверах, они позволяют частной информации попасть в руки третьих лиц.

Кстати, вы знали, что более половины бесплатных VPN из App Store небезопасны?

Кроме того, некоторые бесплатные приложения используют схему обмана: если пользователь не платил за конвертацию, его специально заставляют долго ждать, или предлагают заплатить, чтобы файл был преобразован мгновенно. Некоторые пользователи жалуются на ожидание 60-90 минут и более.

Схема обмана очень популярна в этих приложениях

Полный список уязвимых приложений для преобразования файлов iOS можно найти ниже. Пользуетесь одним из них? Расскажите в нашем Telegram-чате. Эксперты из Wandera связывались с разработчиком три раза за последние три месяца, но не получили ответа.

Одно из приложений Cometdocs

Конвертеры файлов, которые не используют шифрование

  • Audio Converter by Cometdocs – Convert Audio Files
  • Video Converter – Convert Video Files
  • Compress PDF – Make PDF Smaller
  • PDF Merge – Combine PDF Documents
  • JPG to PDF Converter
  • XPS to PDF Converter – Convert XPS files to PDF
  • Save as PDF – from Anywhere – Convert Text, Word, Excel, OpenOffice, LibreOffice and other files to PDF – All in one PDF Converter
  • Image to Text Converter – OCR
  • Image to Excel Converter – OCR
  • Image to Word Converter – OCR – Convert photos to Word documents
  • PDF Creator – PowerPoint edition
  • PDF Creator – Word edition
  • DOC to DOCX
  • DOCX to DOC
  • PDF to AutoCAD Converter – Convert PDF to DWG
  • PDF to Text Converter with OCR
  • PDF to PowerPoint Converter
  • PDF to Excel Converter – OCR
  • PDF to JPG Converter (JPEG)
  • Publisher to PDF Converter
  • PDF Converter Ultimate – All In One Converter
  • PDF to Word Converter with OCR
  • MP3 Converter – Convert Videos and Music to MP3

В развивающемся корпоративном сегменте проблема приобретает серьезный масштаб. В наше время сотрудники используют персональные устройства, которые имеют неограниченный доступ ко всем приложениям и сервисам, включая те, которые, по их мнению, безопасны для работы, в том числе облачные хранилища и конвертеры PDF. Бесконтрольный доступ к этим сервисам подрывается усилия по обеспечению безопасности облачных вычислений и предоставляет конфиденциальные данные, поскольку у ИТ-специалистов нет возможности контролировать, куда сотрудник загружает рабочие документы.

Организации с надлежащими решениями для управления мобильными устройствами должны блокировать корпоративные данные с помощью профилей конфигурации Apple для iOS, однако до сих пор не все компании используют их.

Многие приложения для конвертации файлов не используют шифрование

Источник

Последние новости