mHealth aplikace vystavují miliony uživatelů kybernetickým útokům

medical apps threats

Asi 23 milionů uživatelů mobilních aplikací pro zdraví (mHealth) je podle výzkumníků vystaveno útokům na aplikační programovací rozhraní (API), které by mohlo odhalit citlivé informace.

Obecně řečeno, API jsou prostředníkem mezi aplikacemi, který definuje, jak spolu mohou komunikovat a umožňuje jim vyměňovat informace. Výzkumná pracovnice Alissa Knight ze společnosti Approov se pokusila proniknout do API 30 různých prodejců mHealth aplikací, se souhlasem, že nebude identifikovat ty zranitelné. Ukázalo se, že všechny byly do té či oné míry zranitelné.

Průměrný počet stažení pro každou testovanou aplikaci byl 772 619.

Podle výsledné zprávy společnosti Approov z 30 analyzovaných populárních mHealth aplikací 77 procent z nich obsahovalo napevno zakódované klíče API, což by útočníkovi umožnilo zachytit výměnu informací – některé z nich nevyprší. Sedm procent z nich patřilo zpracovatelům plateb třetích stran, kteří výslovně varují před pevným kódováním tajných klíčů v prostém textu.

Dalších 7 procent obsahovalo pevně zakódovaná uživatelská jména a hesla.

Ale to není vše: Více než čtvrtina (27 procent) testovaných mobilních aplikací neměla code-obfuscation ochranu proti zpětnému inženýrství; a všem bez výjimky chybělo připnutí certifikátu, které brání man-in-the-middle útokům (MITM), aby zachytily komunikaci, aby pozorovaly a manipulovaly se záznamy.

Celých 50 procent testovaných API také neověřilo požadavky pomocí tokenů.

A konečně, pokud lze přistupovat k záznamům jednoho pacienta, často lze přistupovat k mnoha dalším bez rozdílu: 100 procent testovaných koncových bodů API bylo zranitelných vůči útokům BOLA (Broken Object Level Authorization), což výzkumníkovi umožnilo zobrazit osobní informace o zdraví (PHI) a osobní identifikační údaje (PII) o pacientech.

V kontextu zprávy se uvádí, že ve velkých obchodech s aplikacemi je k dispozici více než 318 000 podobných aplikací.

Přečtěte si více na: threatpost.com

Napsat komentář