Уязвимость в приложении "Парковки Москвы" позволяет получить данные пользователя
Разработчики мобильного приложения пренебрегли элементарными правилами безопасности и хранят персональные данные в файле настроек приложения, а не в безопасной связке ключей Keychain.
W440x0 picbig

В приложении "Парковки Москвы" обнаружена уязвимость, позволяющая злоумышленникам получить персональные данные пользователей, в частности номер телефона и пароль от приложения. Об этом на конференции #{MBLT}Dev в ходе своего доклада рассказал эксперт по компьютерной безопасности Андрей Беленко из компании viaForensics

«Зачастую большинство случаев краж персональных данных пользователей происходит из-за халатности разработчиков, которые ненадлежащим образом скрывают в системе полученную пользовательскую информацию, ошибочно полагая, что в их коде никто не сможет и не захочет разбираться», — прокомментировал слайды г-н Беленко. При этом получить личную информацию, если она должным образом не зашифрована, можно за 5-10 минут.

В iOS, мобильной операционной системе Apple, установленной на всех смартфонах и планшетах компании, существует встроенный сервис Keychain ("Связка ключей"), в котором хранятся пароли и личная пользовательская информация. Любой разработчик может настроить свое приложение таким образом, что пользовательская информация от этого приложения будет также храниться в ячейке Keychain, но, похоже, разработчики, сдавшие приложение правительству Москвы, поленились выполнить пару простых манипуляций, и поэтому персональные данные оказались непосредственно в файле настроек, так называемом файле plist, а значит доступны любому профессионалу в области IT за пару кликов мышки.

комментировать Комментарии 2
W80 uv7bjujzejk
Ni K
сволочи))
W80 1508583 648563215192472 8347305340336203642 n
Алексей Резванов
Может за 2 года кстати и пофиксили )))
Ваш комментарий
Авторизуйтесь чтобы можно было оставлять комментарии.