В магазине Google Play есть миллионы приложений, но не все из них безопасны в использовании. Исследователи безопасности недавно выявили несколько приложений, содержащих серьезные уязвимости.
Первое приложение, о котором идет речь
По словам автора Forbes, казалось бы безобидное приложение Video AI Art Generator & Maker от разработчика Codeway, которое было установлено почти полмиллиона раз, привело к утечке всех изображений и видео своих пользователей. Более 12 ТБ данных, включая 1,5 миллиона изображений и почти 400 000 видео, оказались в свободном доступе в Интернете.
Инцидент не был злонамеренным, а произошел из-за ошибки конфигурации в Google Cloud. Это позволило любому получить доступ к сохраненным данным без необходимости предварительно идентифицировать себя. Для пользователей приложения это стало катастрофой.
Приложение больше не доступно в магазине Google Play, поскольку Google быстро отреагировал на жалобы пользователей и удалил его. Он был внесен в список с июня 2023 года и использовался для быстрого и простого создания изображений и видео с помощью искусственного интеллекта. Все просочившиеся изображения были созданы с помощью приложения, но, возможно, содержали личный контент.
Это была не единственная утечка
Другое приложение того же разработчика под названием IDMerit, используемое для проверки личности, имело столь же серьезную уязвимость безопасности. Однако это привело не к утечке данных изображения, а скорее к раскрытию конфиденциальной личной информации, в том числе:
- Полные имена
- Домашние адреса
- Почтовые индексы
- Даты рождения
- номера удостоверений личности
- Телефонные номера
- Пол
- Адреса электронной почты
- Другие метаданные
Вся эта информация может быть связана с отдельными лицами в США и 25 других странах, включая Германию, Францию, Китай и Бразилию. Подобные конфиденциальные персональные данные могут быть использованы злоумышленниками для проведения целевых фишинговых атак и/или кражи личных данных.
Если на вашем устройстве установлено приложение от разработчика Codeway, вам следует немедленно удалить его. Кроме того, проверяйте все входящие сообщения или электронные письма на наличие признаков фишинга и игнорируйте все подобные подозрительные запросы.
Как защитить себя
При установке новых приложений всегда следует проверять, получены ли они из надежного источника. Хотя Google проверяет все приложения, предлагаемые в Play Store, он не может гарантировать, что они на 100 % безопасны. Это по-прежнему ответственность разработчиков.
Поэтому лучше всего проверить, сколько приложений уже выпустил провайдер и имеют ли они заслуживающую доверия репутацию. Не поддавайтесь соблазну ажиотажа или тенденций, таких как приложения на основе искусственного интеллекта. Не устанавливайте бесплатные приложения, которые не были достаточно протестированы.
Также обратите внимание на разрешения устройства, запрашиваемые приложениями. Различные знаки одобрения, такие как значок «Проверенный разработчик» или этот символ для приложений VPN, указывающий, что приложение прошло достаточное тестирование.
