Felhasználói adatokat veszélyeztethetnek az SDK-k

​A fejlesztők számára készülő eszközkészletek nem megfelelő alkalmazása könnyen a felhasználók adatainak veszélybe kerülését eredményezheti.
 

Az SDK-k olyan eszközkészletek, amelyek gyakran ingyenesen érhetők el a fejlesztők számára. Ezek segítségével felgyorsíthatók, illetve egyszerűsíthetők a fejlesztési munkák, így sokszor jutnak szerephez.
 
Csakhogy az SDK-k gyakorta adatvédelmi aggályokat is felvetnek. Különösen a reklám SDK-k, amelyek felhasználói adatokat gyűjtenek azért, hogy minél relevánsabb reklámokat jelenítsenek meg, és ilyen módon segítsék a szoftverkészítők bevételszerzését.
 
Ezek az SDK-k a felhasználói adatokat népszerű hirdetési hálózatok domainjeire küldik a célzottabb hirdetések megjelenítéséhez. Azonban kiderült, hogy a Kaspersky Lab kutatói által vizsgált alkalmazások közül jó néhány az adatokat titkosítatlanul, védelem nélkül küldözgette a kiszolgálók felé. Titkosítás hiányában pedig ezek az adatok illetéktelenek számára is hozzáférhetővé válhatnak, különösen nyilvános WiFi-hálózatok használatakor. A küldözgetett adatok között feltűnhet a felhasználó neve, életkora, neme, telefonszáma, e-mail címe és nem utolsó sorban a készülék minden fontosabb paramétere.
 
További probléma, hogy a védtelen hálózati kommunikáció manipulálhatóvá is válhat, aminek következtében kártékony hirdetések jelenhetnek meg az amúgy ártalmatlan alkalmazásokban.
 
"Az első gondolatunk az volt, hogy csupán néhány hanyagul fejlesztett alkalmazást találtunk. Sajnos a vizsgálatok során kiderült, hogy nem erről van szó. A harmadik féltől származó SDK-kat több millió alkalmazás foglalja magában, és számtalan privát adathoz van hozzáférésük" - nyilatkozta Roman Unuchek, a Kaspersky Lab biztonsági kutatója.
 
A biztonsági cég azt javasolta a felhasználóknak, hogy mindig ellenőrizék az alkalmazások engedélyeit, és csak a legszükségesebb hozzáféréseket adják meg az appok számára. A kockázatokat csökkentheti a VPN-kapcsolatok használata, mivel ilyenkor titkosított csatornán keresztül történik az adatkommunikáció.
Vélemények
 
  1. 3

    A VMware 3D-gyorsítás funkciója kapcsán egy biztonsági hibát kell megszüntetni.

  2. 3

    A Wireshark legújabb biztonsági frissítésével három sebezhetőséget lehet megszüntetni.

  3. 1

    A CoinMiner trójai kriptopénz bányászatba vonja be a linuxos számítógépeket.

 
Partnerhírek
Adat szivároghat a jelkóddal lezárt iPhone-okból

Az Apple új verziójú mobil operációs rendszerében akkor is hozzá lehet férni egyes adatokhoz, ha egyébként a telefont jelkóddal lezárták.

​Az ESET új nagyvállalati portfóliója

Az ESET idén is támogatóként jelent meg Magyarország egyik legnagyobb szabású IT biztonsági rendezvényén, az ITBN 2018. konferencián.

hirdetés
Közösség
1