Практически все приложения на сегодняшний день используют системы аналитики для сбора метрик. Но задумывались ли вы, какие данные передаются вместе с этой аналитикой?
Исследователи выпустили прекрасный отчет, проанализировав порядка 500 тысяч приложений из Play Market! По итогам, больше 4000 приложений содержали утечки конфиденциальной информации, начиная от email и заканчивая реальными паролями пользователей! 😱
А какую информацию вы собираете о работе своего приложения? :)
#Android #Firebase #DataLeak #Vulnerabilities
https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/
Исследователи выпустили прекрасный отчет, проанализировав порядка 500 тысяч приложений из Play Market! По итогам, больше 4000 приложений содержали утечки конфиденциальной информации, начиная от email и заканчивая реальными паролями пользователей! 😱
А какую информацию вы собираете о работе своего приложения? :)
#Android #Firebase #DataLeak #Vulnerabilities
https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/
Comparitech
24,000 Android apps expose user data through Firebase blunders
Common misconfigurations on Google Firebase databases allow unauthorized parties to easily find and access users' personal data in thousands of apps.
Как приложения сливают нашу геопозицию или я знаю, где ты живешь...
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
tim.sh
Everyone knows your location
How I tracked myself down using leaked location data in the in-app ads, and what I found along the way.