В Google Play Store существуют миллионы приложений, но не все из них безопасны в использовании. Исследователи безопасности недавно выявили несколько приложений, содержащих серьезные уязвимости.
Первое рассматриваемое приложение
По сообщению автора Forbes, приложение под названием Video AI Art Generator & Maker от разработчика Codeway, которое казалось безобидным и было установлено почти полмиллиона раз, допустило утечку всех изображений и видео своих пользователей. Более 12 ТБ данных, включая 1,5 миллиона изображений и почти 400 000 видео, оказались в свободном доступе в интернете.
Инцидент не был злонамеренным, а произошел из-за ошибки конфигурации в Google Cloud. Она позволила любому получить доступ к сохраненным данным без предварительной идентификации. Для пользователей приложения это обернулось катастрофой.
Приложение больше не доступно в Google Play Store, поскольку Google оперативно отреагировал на жалобы пользователей и удалил его. Оно находилось в магазине с июня 2023 года и использовалось для быстрого и легкого создания изображений и видео с помощью ИИ. Утекшие изображения были созданы с помощью приложения, но могли содержать личный контент.
Это была не единственная утечка
Другое приложение того же разработчика, под названием IDMerit и используемое для верификации личности, имело не менее серьезную уязвимость безопасности. Однако оно привело не к утечке графических данных, а к раскрытию конфиденциальной личной информации, включая:
- Полные имена
- Домашние адреса
- Почтовые индексы
- Даты рождения
- Номера удостоверений личности
- Номера телефонов
- Пол
- Адреса электронной почты
- Другие метаданные
Вся эта информация могла быть связана с лицами в Соединенных Штатах и 25 других странах, включая Германию, Францию, Китай и Бразилию. Подобные конфиденциальные личные данные могут быть использованы злоумышленниками для организации целевых фишинговых атак и/или кражи личных данных.
Если на вашем устройстве установлено приложение от разработчика Codeway, вам следует немедленно удалить его. Также проверяйте все входящие сообщения или электронные письма на предмет признаков фишинга и игнорируйте все подобные подозрительные запросы.
Как защитить себя
При установке новых приложений всегда следует проверять, исходят ли они из надежного источника. Хотя Google проверяет все приложения, предлагаемые в Play Store, он не может гарантировать их 100%-ную безопасность. Это по-прежнему ответственность разработчиков.
Поэтому лучше всего проверить, сколько приложений ранее выпустил поставщик и имеет ли он надежную репутацию. Не поддавайтесь влиянию ажиотажа или трендов, таких как приложения на базе ИИ. Не устанавливайте бесплатные приложения, которые недостаточно протестированы.
Обращайте внимание и на разрешения, которые запрашивают приложения. Различные знаки одобрения, такие как значок «Проверенный разработчик» или этот символ для VPN-приложений, указывают на то, что приложение прошло достаточную проверку.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Laura Pippig
