Компания «Ростелеком-Солар» (дочка «Ростелекома»), специализирующаяся на кибербезопасности, исследовала наиболее популярные среди россиян приложения для знакомств с точки зрения защищенности персональных данных пользователей.
Эксперты проверили 12 самых популярных у российской аудитории дейтинговых приложений — Tinder, Badoo, LovePlanet, Mamba, «Фотострана», Topface, «ДругВокруг», MyFriends, Galaxy, «Знакомства@mail.ru», Teamo и Hitwe. В выборку попали приложения с числом установок более 1 млн, которые также занимают высокие позиции в рейтинге сайтов знакомств RatingDatings.ru.
Компания тестировала две версии приложений – для устройств на Android и на iOS. Безопасность кода специалисты проверяли с помощью собственного продукта для анализа защищенности приложений Solar appScreener. Это решение использует методы статического, динамического и интерактивного анализа, когда приложение работает и когда оно закрыто. Итоговый балл приложению присуждался на основе отчетов, которые сформировал сервис: в них указывалась общая оценка защищенности приложения, список уязвимостей и ошибок.
На основе 500 последних сканирований различных приложений Solar appScreener рассчитало средний уровень защищенности приложений в App Store и Google Play. Он составил 2,2 балла из пяти.
Среди iOS-версий исследованных приложений нет ни одного, удовлетворяющего хотя бы среднему по отрасли уровню защищенности.
Приложения Hitwe, LovePlanet и Galaxy получили 1, 0,7 и 0,6 балла соответственно. Это лучшие показатели среди всех исследованных дейтинговых приложений для iOS.
Версия TopFace для iOS включает множество уязвимостей – его общий уровень Solar appScreener оценил в 0,0 балла. Популярные приложения Tinder и Badoo, которые входят в топ-5 мобильных дейтинг-приложений по тратам пользователей, набрали по 0,5 балла.
Исследование показало, что все iOS-версии приложений содержат слабый алгоритм хеширования, что может привести к потере конфиденциальных данных пользователя. А более чем в половине из них заложены слабые алгоритмы шифрования: злоумышленник может взломать аккаунт пользователя методом полного перебора паролей.
Наиболее частыми «спутниками» iOS-приложений знакомств являются такие уязвимости среднего уровня критичности, как использование NSLog (возможность осуществить атаку на приложение) и небезопасная рефлексия (возможность применить вредоносный код или использовать недокументированные возможности приложения). В то же время исследователи отмечают, что эти уязвимости в некоторой степени компенсируются более высокой защищенностью самой iOS: Apple жестко ограничивает доступ к платформе сторонних разработчиков. Например, чтобы разработать приложение под iOS, надо пройти множество процедур и проверок Apple.
Android надежнее
Тем не менее, у 10 из 12 приложений знакомств для смартфонов на базе Android ключ шифрования задан в исходном коде, а это критичная уязвимость, которая может привести к компрометации всех данных, содержащихся в программе, говорится в отчете. Кроме того, все 12 приложений под Android допускают внутреннюю утечку ценной информации и возможность обхода проверок безопасности Security Manager, из-за чего злоумышленник может вставить в приложение свой код.
Критичная уязвимость
Самую серьезную проблему специалисты обнаружили в приложении «Знакомства@mail.ru» для Android. Это приложение содержит уязвимость, входящую в международный рейтинг 2016 года наиболее критичных уязвимостей OWASP Mobile Top 10. При этом сути уязвимости авторы исследования не раскрывают.
Благодаря этой уязвимости хакер может получить логин и пароль пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио-контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Этот контент может стать компроматом на любого человека, по той или иной причине заинтересовавшего злоумышленника, говорится в отчете. Эту информацию могут выложить в сеть, как было в случае со скандально известным сайтом знакомств Ashley Madison, предупреждают авторы исследования. В 2015 году группировка Impact Team взломала канадский сайт знакомств для женатых людей Ashley Madison и выложила в открытый доступ данные более 37 млн пользователей из 40 стран мира, исходный код сайта, а также внутреннюю переписку руководства компании. Спустя два года Ashley Madison выплатил жертвам взлома $11,2 млн компенсации: многие из них лишились семьи, работы и столкнулись с новыми вымогательствами и шантажом новых мошенников. Часто пользователи ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и, например, для доступа в онлайн-банк: это создает уже финансовые риски, предупреждают в «Ростелеком-Солар».
Сервис «Знакомства@mail.ru» принадлежит ЗАО «Мамба». Пресс-служба Mail.ru Group адресовала вопросы об уязвимостях сервиса туда. «Мы разрабатываем приложение, а публикует его под своим брендом Mail.Ru», — рассказал Forbes исполнительный директор Mamba Ярослав Сергеев. Вероятно, уязвимость касается системы авторизации Mail.Ru, потому что это единственное, чем «Знакомства» отличаются от собственно сервиса Mamba, отметил Сергеев.