Если вы работаете в бизнесе, особенно в крупном, то возможно замечали, как некоторые из ваших коллег играют на мобильных устройствах, используемых для работы. Это весьма дурные вести для ИБ-подразделений.
Исследование компании Veracode, специализирующейся в области ИБ, показало, что в среднем в компаниях установлено более одного игрового приложения на некоторых устройствах сотрудников, из-за этого корпоративные данных, обрабатываемые на этих устройствах, подвергаются опасности утечки.
Специалисты Veracode обнаружили более сотни тысяч мобильных приложений, установленных в корпоративной среде. Исследование показало, что в некоторых компаниях было по 35 мобильных игровых приложений в сетевой среде.
Veracode протестировала некоторые из самых популярных азартных игр, найденных в ходе исследования. В результате были обнаружены критические уязвимости, которые могли позволить потенциальным злоумышленникам получить доступ к контактам, электронным письмам, истории и данным местоположения, а также записать разговоры владельца.
Например, приложение типа казино содержало код, позволяющий проверить, сделан ли на айфоне джейлбрейк, чтобы получить беспрепятственный доступ к устройству. Более того, у приложения была возможность проводить аудио- и видеозапись, а также пересылать информацию об идентификационных данных пользователя, что делало его уязвимым для атак «man-in-the-middle».
Другое приложение позволяло извлечь такие данные, как пол и дату рождения. При этом оно загружало 24 Мб(!) зашифрованных данных без ведома пользователя.
У десяти игровых приложений был доступ на чтение, запись и удаление локальных данных, а также возможность коммуникации с произвольными серверами. Эти действия могли подвергнуть опасности жестко контролируемую корпоративную коммуникационную среду.
Veracode не сообщила, какие именно азартные игры содержали определенные уязвимости, однако известно, что протестированы были Big Fish Casino, Gold Fish Casino Slots, GSN Casino, Heart of Vegas, Hit it Rich Casino Slots, Jackpot Party Casino, Slot Machines House of Fun, Slots Pharaohs Way, Texas Poker, Wonderful Wizard of Oz и Zynga Poker.
Отметим также, что как бесплатные мобильные приложения, включая азартные игры, обычно содержат рекламные библиотеки. И многие из этих приложений не используют HTTPS, поэтому потенциально опасны.
Чтобы уменьшить риск взаимодействия несанкционированных мобильных приложений с чувствительными корпоративными данные, эксперты рекомендуют компаниям реализовать так называемый «белый список» ПО.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.