Top menu

Приложение для слежения за «детскими» айфонами хранило адреса электронной почты и текстовые пароли Apple ID пользователей в общедоступном облаке Amazon

iOS-приложение TeenSafe, которое изначально позиционировалось как средство мониторинга за детьми, оказалось весьма удобным инструментом для сбора и слива паролей и адресов электронной почты, привязанных к Apple ID.

Создатели TeenSafe предлагают родителям использовать это приложения для наблюдения за тем, что ребенок делает на своем смартфоне – с кем общается текстовыми сообщениями, кому звонит, какие сайты посещает и какие приложения устанавливает. В общем классическое spyware, которое с помощью правильного позиционирования превращено во вполне легитимное ПО.

Однако, как это часто бывает, за громкими словами о безопасности других, о своей собственной безопасности (точнее о безопасности данных своих клиентов) создатели не подумали.

TeenSafe использовало два облачных сервера AWS (Amazon S3) для хранения базы данных с адресами эл. почты родителей и детей (адреса, привязанные к Apple ID устройства, на котором установлено приложение), именами и идентификаторами устройств, а также текстовыми паролями к учетной записи Apple ID ребенка.

Самое деликатное в этом моменте то, что TeenSafe требует отключить двухфакторную аутентификацию для Apple ID устройства, на котором приложение будет использоваться. А значит утекшие текстовые пароли и логины точно могут быть свободно использованы для неправомочного доступа к аккаунтам детей на сайте Apple (iCloud). Учитывая особенность многих людей использовать один пароль для нескольких сервисов (password reuse) можно также предположить, что часть паролей подойдет и к аккаунтам родителей.

Всего в базе было 10,200 записей. Создатели TeenSafe утверждают, что их приложение используют более миллиона родителей.

Буквально на прошлой неделе стало известно, что приложение Drupe для Android хранило данные своих пользователей на общедоступных облачных серверах Amazon

Автор: Ашот Оганесян