在移动应用程序崩溃时,一些移动软件开发工具包(SDKs)可以捕获用户的隐私数据,并且将其暴露给第三方。
在一份报告中,Appthority的研究人员特别指出了AppSee和TestFairy公司提供的sdk问题。他们警告说,
有些用户需要知道一些事实。就是当他们使用的应用程序依赖于开发人员的SDK工具,那么他们的私人数据片段可以在企业环境之外的地方被共享。
AppSee和TestFairy sdk是一种开发工具,他们的功能是让应用程序制造商了解,应用程序崩溃前手机的确切状态。当应用程序崩溃时,这两个工具都会对移动设备进行截屏,并将它发送给应用程序的开发人员,这样开发人员就能针对截屏进行分析。在某些情况下,他们还会收集终端用户的行为数据,比如用户手势和热图,而这些数据是与使用SDK的特定应用程序绑定在一起。
Appthority的研究科学家Su Mon Kywe在一篇博客文章中警告称,移动数据可能出现泄漏。
这为企业移动环境中的新漏洞打开了大门,因为为了调试,第三方软件越来越多的录制移动屏幕,并且将其发回外部服务器。
她警告说,信用卡数据和密码等敏感信息可能会被窃取。她还指出,如果AppSee和TestFairy公司与允许用户查看Microsoft Word、Excel、PowerPoint文件和Adobe PDFs的应用程序开发人员合作,崩溃的应用程序更有可能暴露企业的隐私数据。
她写道:
Appthority发现有几家拥有这种屏幕抓取能力的应用程序也能打开企业文档,这增加了企业文档泄露给第三方的风险,而企业无法控制这个现象。
TestFairy的首席执行官Yair Baron说,他的公司为移动应用开发团队提供了与崩溃相关的视频和屏幕截图,而这些视频和截图都是使用其SDK的应用程序。
他说,
要明确的是,我们没有捕捉到任何其他应用的任何信息。我们只是帮助开发人员理解崩溃前发生了什么,这样他们就可以更快的修复bug。
Baron说TestFairy SDK没有打开任何文件的能力。另一方面,AppSee却可以打开某些文档。
AppSee是应用程序中的一个库,当用户在移动设备上下载或访问这些文件时,应用程序(如AutoCAD)可以打开Word,Excel,PowerPoint和PDF。
AppSee在一封电子邮件中回应道:
当应用程序包含用于调试或分析目的的AppSee SDK时,AppSee有权访问这些文档。当用户打开这些文档时,AppSee是有权截取屏幕截图的。
第三方数据共享
Appthority的Kywe指出了一些事件,这些事件是指未经用户同意与第三方共享移动数据。7月,东北大学和加州大学圣巴巴拉分校的研究人员重点指出了一家快餐公司的应用程序GoPuff,该应用程序捕获了包含邮政编码信息的交互截图。
AppSee告诉Threatpost,GoPuff违反了该公司的服务条款,并拒绝进一步发表评论。
去年,医疗保健提供商MDLive面临一项由一名女性提起的集体诉讼,该女性声称,MDLive移动应用程序通过TestFairy SDK共享用户的敏感信息。根据诉讼内容显示,屏幕截图收集了相关信息,其中包括各种健康信息,如健康状况、过敏情况、近期医疗事件和家族病史。
该投诉指出:
患者向MDLive提供医疗信息是为了获得医疗服务,将患者的医疗信息传输给治疗医生。他们期望MDLive能够使用适当的安全措施,比如加密和限制访问权限。然而,MDLive未能充分限制对患者医疗信息的访问,反而向员工、代理商和第三方提供访问许可权限。
Baron说,
TestFairy收集的数据从未发送给“未知的第三方”。相反,数据是被发送到只有应用程序开发人员才能访问的私有云。
Baron还表示,TestFairy还有一点做得更过分。他们允许开发人员在拍摄屏幕截图时屏蔽敏感数据,如姓名、用户名、信用卡数据、位置信息和密码。
Baron说:
保护信息安全的最好方法,首先就是不要让它存在。
Appthority建议应从企业移动环境中删除不兼容的应用程序。
Kywe说:
此外……企业安全团队应该格外关注这类能够访问其他企业数据的应用,比如地址簿和日历信息。
Appthority表示,大约有1350个Android和大约4000个iOS应用程序在企业设备上使用屏幕录制功能。大约200个Android和180个基于iOS的应用程序,利用TestFairy提供屏幕捕获功能。
本文翻译自:https://threatpost.com/crashing-mobile-apps-capture-screens-leak-private-data/136988/
翻译作者:Change 原文地址: http://www.4hou.com/info/13865.html