В App Store обнаружили приложения, которые годами сливали пользовательские данные. Проект под названием Firehound уже называют одним из самых тревожных сигналов для экосистемы iOS за последнее время, и на то есть очень веские причины. Согласитесь, что даже если вы не делали в программах ничего противозаконного, все равно очень неприятно, когда вашу внутреннюю информацию куда-то сливают.
Почти 200 приложений из App Store сливают данные
❗ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Firehound — это инициатива, запущенная при участии исследовательской лаборатории Covert Labs и специалистов по OSINT. Проект автоматически сканирует приложения из App Store и ищет плохо защищённые базы данных, облачные хранилища и API, через которые наружу утекает информация пользователей. Речь идёт не о теоретических рисках, которые якобы когда-нибудь могут возникнуть, а о реально доступных данных: имена, адреса электронной почты, история переписок и служебные метаданные.
На сегодняшний день Firehound выявил 196 приложений, которые действительно раскрывают пользовательские данные. Лидером антирейтинга стала программа Chat & Ask AI. По данным исследователей, оно открыло доступ более чем к 406 миллионам записей, связанным с 18 миллионами пользователей. Это сотни миллионов сообщений, которые можно было получить без взлома. Достаточно знать, куда смотреть.
Антитоп утечек выглядит так, а с полным списком можно ознакомиться по ссылке
Большинство проблемных приложений так или иначе связаны с ИИ. Это чат-боты, помощники, умные генераторы текста и изображений. Но список категорий шире, чем может показаться на первый взгляд. Утечки обнаружены в приложениях из разделов образования, здоровья, соцсетей, дизайна, развлечений и лайфстайла. Общая причина почти всегда одна и та же: неправильно настроенные облачные базы данных или открытые хранилища без авторизации.
Firehound не выкладывает все данные в открытый доступ. Базовый реестр публичный, но для доступа к более чувствительной информации нужно регистрироваться и отправлять запрос. Такие заявки проверяются вручную, приоритет отдают журналистам, специалистам по безопасности и правоохранительным органам. Это сделано намеренно, чтобы проект не превратился в инструмент для злоупотреблений.
Знающий человек легко достанет из этих данных нужную информацию
Firehound — это наглядное напоминание о том, что даже в App Store с его модерацией и правилами можно годами хранить пользовательские данные буквально без защиты. Ну а как еще это можно назвать, если к ним может получить доступ любой желающий. Особенно осторожными стоит быть с ИИ-приложениями, которым пользователи доверяют личные разговоры, мысли и чувствительную информацию.
❗ПОДПИСЫВАЙСЯ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ. ТАМ КАЖДЫЙ ДЕНЬ ВЫХОДЯТ ПОДБОРКИ САМЫХ ЛУЧШИХ ТОВАРОВ С АЛИЭКСПРЕСС
Вывод здесь простой: меньше доверяйте незнакомым программам и старайтесь выбирать решения от крупных компаний, где защите данных уделяется больше ресурсов и времени. Разработчикам стоит воспринимать безопасность данных не как опцию. Даже если приложение сделано быстро, дешево или с помощью ИИ, ответственность за утечки все равно лежит на них, и необходимо решить этот вопрос в первую очередь, а не оставлять его на волю случая.
