Android-приложение Target предназначено для создания списков покупок и желаний, которыми можно поделиться с друзьями и родными. Приложение насчитывает 5 000 000 – 10 000 000 установок, по данным Google Play. Тогда как подобные сервисы особенно актуальны в сезон праздников и распродаж, оказалось, что приложение также «делится» данными пользователей со всем белым светом.
wishlist_for_santa
Проблему обнаружили специалисты компании Avast. Оказалось, в БД приложения хранились не только списки покупок, но и имена пользователей, их email, адреса и телефоны. Доступ к API Target и этим данным можно получить через интернет, достаточно лишь разобраться в том, как работает система генерации ID пользователей. Стоит порадоваться, что Target не хранит финансовую информацию пользователей, к примеру, данные о банковских картах.

Доступный посредством интернет API позволяет задать приложению вопрос, ответ на который оно отправит на email. Никакой аутентификации при этом не потребуется, так что всё, что нужно сделать атакующему – узнать ID своей жертвы. Точный механизм генерации ID специалисты Avast не описывают, но отмечают, что им его понять удалось. Если все условия буду соблюдены, Target передаст злоумышленнику все пользовательские данные в виде файла JSON.
Target-JSON-file

Пример полученных от приложения данных

Журналистам издания SecurityWeek удалось связаться с разработчиками приложения, и те сообщили, что уже знают о проблеме и предприняли шаги для ее устранения. В частности, были временно отключены функции wish list (список желаний) и gift registry (список подарков), из-за которых такая атака и стала возможна. Ошибки обещают устранить полностью в ближайшее время, затем Tagret снова заработает в обычном режиме.
Взято с Xakep.ru

Читайте також -  Microsoft виправляє чотири вразливості безпеки в останньому оновленні Edge

5 Comments

  1. … [Trackback]

    […] Find More on that Topic: portaltele.com.ua/news/events/prilozhenie-target-slivalo-dannye-vsem-zhela.html […]

  2. … [Trackback]

    […] Find More on that Topic: portaltele.com.ua/news/events/prilozhenie-target-slivalo-dannye-vsem-zhela.html […]

  3. … [Trackback]

    […] Here you will find 24323 more Info to that Topic: portaltele.com.ua/news/events/prilozhenie-target-slivalo-dannye-vsem-zhela.html […]

  4. … [Trackback]

    […] Find More on on that Topic: portaltele.com.ua/news/events/prilozhenie-target-slivalo-dannye-vsem-zhela.html […]

  5. … [Trackback]

    […] Here you can find 77555 additional Information on that Topic: portaltele.com.ua/news/events/prilozhenie-target-slivalo-dannye-vsem-zhela.html […]

Leave a reply