移動軟體(SDK)在程式崩潰時捕獲使用者敏感資料
在移動應用程式崩潰時,一些移動軟體開發工具包(SDKs)可以捕獲使用者的隱私資料,並且將其暴露給第三方。
在一份報告中,Appthority的研究人員特別指出了AppSee和TestFairy公司提供的sdk問題。他們警告說,
有些使用者需要知道一些事實。就是當他們使用的應用程式依賴於開發人員的SDK工具,那麼他們的私人資料片段可以在企業環境之外的地方被共享。
AppSee和TestFairy sdk是一種開發工具,他們的功能是讓應用程式製造商瞭解,應用程式崩潰前手機的確切狀態。當應用程式崩潰時,這兩個工具都會對移動裝置進行截圖,並將它傳送給應用程式的開發人員,這樣開發人員就能針對截圖進行分析。在某些情況下,他們還會收集終端使用者的行為資料,比如使用者手勢和熱圖,而這些資料是與使用SDK的特定應用程式繫結在一起。
Appthority的研究科學家Su Mon Kywe在一篇部落格文章中警告稱,移動資料可能出現洩漏。
這為企業移動環境中的新漏洞打開了大門,因為為了除錯,第三方軟體越來越多的錄製移動螢幕,並且將其發回外部伺服器。
她警告說,信用卡資料和密碼等敏感資訊可能會被竊取。她還指出,如果AppSee和TestFairy公司與允許使用者檢視Microsoft Word、Excel、PowerPoint檔案和Adobe PDFs的應用程式開發人員合作,崩潰的應用程式更有可能暴露企業的隱私資料。
她寫道:
Appthority發現有幾家擁有這種螢幕抓取能力的應用程式也能開啟企業文件,這增加了企業文件洩露給第三方的風險,而企業無法控制這個現象。
TestFairy的執行長Yair Baron說,他的公司為移動應用開發團隊提供了與崩潰相關的視訊和螢幕截圖,而這些視訊和截圖都是使用其SDK的應用程式。
他說,
要明確的是,我們沒有捕捉到任何其他應用的任何資訊。我們只是幫助開發人員理解崩潰前發生了什麼,這樣他們就可以更快的修復bug。
Baron說TestFairy SDK沒有開啟任何檔案的能力。另一方面,AppSee卻可以開啟某些文件。
AppSee是應用程式中的一個庫,當用戶在移動裝置上下載或訪問這些檔案時,應用程式(如AutoCAD)可以開啟Word,Excel,PowerPoint和PDF。
AppSee在一封電子郵件中迴應道:
當應用程式包含用於除錯或分析目的的AppSee SDK時,AppSee有權訪問這些文件。當用戶開啟這些文件時,AppSee是有權擷取螢幕截圖的。
第三方資料共享
Appthority的Kywe指出了一些事件,這些事件是指未經使用者同意與第三方共享移動資料。7月,東北大學和加州大學聖巴巴拉分校的研究人員重點指出了一家快餐公司的應用程式GoPuff,該應用程式捕獲了包含郵政編碼資訊的互動截圖。
AppSee告訴Threatpost,GoPuff違反了該公司的服務條款,並拒絕進一步發表評論。
去年,醫療保健提供商MDLive面臨一項由一名女性提起的集體訴訟,該女性聲稱,MDLive移動應用程式通過TestFairy SDK共享使用者的敏感資訊。根據訴訟內容顯示,螢幕截圖收集了相關資訊,其中包括各種健康資訊,如健康狀況、過敏情況、近期醫療事件和家族病史。
該投訴指出:
患者向MDLive提供醫療資訊是為了獲得醫療服務,將患者的醫療資訊傳輸給治療醫生。他們期望MDLive能夠使用適當的安全措施,比如加密和限制訪問許可權。然而,MDLive未能充分限制對患者醫療資訊的訪問,反而向員工、代理商和第三方提供訪問許可許可權。
Baron說,
TestFairy收集的資料從未傳送給“未知的第三方”。相反,資料是被髮送到只有應用程式開發人員才能訪問的私有云。
Baron還表示,TestFairy還有一點做得更過分。他們允許開發人員在拍攝螢幕截圖時遮蔽敏感資料,如姓名、使用者名稱、信用卡資料、位置資訊和密碼。
Baron說:
保護資訊保安的最好方法,首先就是不要讓它存在。
Appthority建議應從企業移動環境中刪除不相容的應用程式。
Kywe說:
此外……企業安全團隊應該格外關注這類能夠訪問其他企業資料的應用,比如地址簿和日曆資訊。
Appthority表示,大約有1350個Android和大約4000個iOS應用程式在企業裝置上使用螢幕錄製功能。大約200個Android和180個基於iOS的應用程式,利用TestFairy提供螢幕捕獲功能。