Top menu

Приложение для Android хранило данные своих пользователей на общедоступных облачных серверах Amazon

Приложение Drupe под Android, скачанное более 10 миллионов раз, хранило данные пользователей (изображения, звуковые сообщения, другие конфиденциальные данные) в открытом виде.

Drupe обещало пользователям помочь «забыть» о традиционном приложении телефонной книги, позволяя им связываться со своими контактами в одном месте, прослушивать звонки, читать текстовые сообщения, слушать звуковые сообщения, интегрироваться с другими популярными приложениями, такими как WhatsApp, Skype и Hangouts. На веб-сайте его назвали «продуманным дозвонщиком», который должен использовать каждый пользователь Android». Не так давно Google похвалил разработчиков, вручив им награду «Google Play’s Editor’s Choice».

Однако вместе с тем компания-разработчик совершила серьезную ошибку. До этой недели данные пользователей Drupe загружались на незащищенные и не прошедшие проверку подлинности серверы Amazon Web Services (AWS). Это означало, что любой, кто знал, где искать, мог обращаться к данным.

Перебором идентификаторов пользователей, можно было получить доступ ко всем их данным, включая журналы вызовов, смс, фотографии, звуковые сообщения и т. д.

Drupe запрашивает множество разрешений от пользователей Android, получая доступ практически ко всему, что можно себе представить: камера, журналы вызовов, аудио, календарь, Bluetooth.

Совсем недавно популярное приложение для фитнеса и учета питания, принадлежащее Under Armor, стало причиной серьезнейшей утечки данных. По заявлению компании затронуто около 150 миллионов пользователей. В прошлом году разработчик виртуальной клавиатуры слил в Интернет 31 миллион записей о клиентах.

Автор: Владимир Безмалый