Video: R. Váňa: Lidé bez bezpečnostní prověrky nutně nemusejí představovat riziko (November 2024)
Ak ste vývojár mobilných aplikácií, ktorý sa snaží generovať výnosy pomocou reklám s jednoduchou inštaláciou, spoločnosť Google nie je jedinou možnosťou. Masívny čínsky poskytovateľ webových služieb Baidu tiež ponúka bezplatnú mobilnú reklamnú súpravu SDK pre každého vývojára, ktorý sa môže integrovať do svojej aplikácie s minimálnymi požadovanými zručnosťami v oblasti kódovania. Podľa správy od antivírusovej spoločnosti Bitdefender by však hackeri mohli zneužiť službu spoločnosti Baidu, aby robila viac ako len zobrazovanie reklám. Nedávno objavená bezpečnostná chyba potenciálne umožňuje hackerom spúšťať škodlivý kód prostredníctvom súpravy Baidu's SDK.
Škodlivý softvér v strede
„Tím spoločnosti Bitdefender Research zistil, že súprava Baidu Mobile Advertising SDK implementuje mechanizmus aktualizácie, ktorý je citlivý na vzdialené vykonávanie kódu pomocou jednoduchých útokov typu človek v strede, “ uviedol tím vo vyhlásení. Aby dokázali túto teóriu, vedci Bitdefenderu vytvorili útok Proof of Concept, ktorý úspešne a bohužiaľ zachytil údaje zo zariadenia, na ktorom je spustená súprava SDK, na nezabezpečenom komunikačnom kanáli.
Už sme videli útoky uprostred človeka. Pomocou tejto metódy sa hackeri tajne vkladajú do súkromných rozhovorov medzi obeťami a citlivým zdrojom. Povedzme, že používate bankovú aplikáciu. Útočník v strede skopíruje vaše informácie, ale tiež ich odovzdá do skutočnej banky, takže to vyzerá, že je všetko v poriadku. Pokiaľ ide o využitie Baidu, hacker musí byť v rovnakej sieti ako cieľ, ale útok typu človek v strede môže ukradnúť poklad súkromných údajov pri veľkom zhromaždení, ako je obchodná udalosť.
Na obrázku nižšie je znázornená jedna zraniteľná aplikácia, Next Escape Winter Villa, so správou zobrazujúcou niektoré informácie, ktoré Bitdefender dokázal zo zariadenia získať.
Príliš veľký na to, aby zlyhal
Bezpečnostné hrozby sú vždy nepríjemné, ale sú sklamaním, keď sú zavinením spoločností tak veľkých ako Baidu. Nie je to nejaká malá, tienistá prevádzka, ako sú Applovin alebo Widdit, reklamné služby, ktoré je možné podobne využívať. Ak nežijete v Číne, je ľahké zabudnúť, aký obrovský je Baidu. Je to najpopulárnejší web v najľudnatejšej krajine. Podľa Alexa vidí iba globálny prenos Google, Facebook a YouTube ako Baidu.
V skutočnosti je Google pravdepodobne najvhodnejším porovnaním, pretože obe spoločnosti začali vyrábať vyhľadávače v polovici 90. rokov, než sa zamerali na celý internet. Ale hoci Android nie je vždy najbezpečnejšia platforma, zdá sa, že Google sa stará aspoň o bezpečnosť. Táto zraniteľnosť Baidu vysiela nešťastnú správu, že spoločnosť je nebezpečne apatická voči mobilnej bezpečnosti. Mnoho aplikácií pre Android, ktoré sú populárne v Číne a zahraničí, sú vybavené súpravou Baidu Mobile Advertising SDK a teraz sú všetci používatelia v ohrození. Je to už dosť ťažké na to, aby sme si všimli maskovanie škodlivého softvéru ako legitímne aplikácie. Ako majú používatelia vedieť, kedy skutočné legitímne aplikácie nesú reklamné komponenty šíriace škodlivý softvér?
Aby ste sa chránili, Bitdefender odporúča používať mobilné bezpečnostné riešenie a súhlasíme. Tieto produkty môžu sledovať, ako aplikácie používajú vaše údaje, a ubezpečiť sa, že ich nezískajú zlí ľudia. Bitdefender ponúka ocenený bezpečnostný produkt Android Editors 'Choice ako Avast. Nie je to žiadna sranda, keď vás niekto chytí uprostred, najmä keď je vaše súkromie na linke.