当应用程序崩溃时,一些开发人员会利用工具捕获屏幕,并且将捕获的信息发送到第三方服务器,从而产生企业数据泄露的风险!
在移动应用程序崩溃时,一些移动软件开发工具包 (SDKs) 可以捕获用户的隐私数据,并且将其暴露给第三方。
在一份报告中,Appthority 的研究人员特别指出了 AppSee 和 TestFairy 公司提供的 sdk 问题。他们警告说,
有些用户需要知道一些事实。就是当他们使用的应用程序依赖于开发人员的 SDK 工具,那么他们的私人数据片段可以在企业环境之外的地方被共享。
AppSee 和 TestFairy sdk 是一种开发工具,他们的功能是让应用程序制造商了解,应用程序崩溃前手机的确切状态。当应用程序崩溃时,这两个工具都会对移动设备进行截屏,并将它发送给应用程序的开发人员,这样开发人员就能针对截屏进行分析。在某些情况下,他们还会收集终端用户的行为数据,比如用户手势和热图,而这些数据是与使用 SDK 的特定应用程序绑定在一起。
Appthority 的研究科学家 Su Mon Kywe 在一篇博客文章中警告称,移动数据可能出现泄漏。
这为企业移动环境中的新漏洞打开了大门,因为为了调试,第三方软件越来越多的录制移动屏幕,并且将其发回外部服务器。
她警告说,信用卡数据和密码等敏感信息可能会被窃取。她还指出,如果 AppSee 和 TestFairy 公司与允许用户查看 Microsoft Word、Excel、PowerPoint 文件和 Adobe PDFs 的应用程序开发人员合作,崩溃的应用程序更有可能暴露企业的隐私数据。
她写道:
Appthority 发现有几家拥有这种屏幕抓取能力的应用程序也能打开企业文档,这增加了企业文档泄露给第三方的风险,而企业无法控制这个现象。
TestFairy 的首席执行官 Yair Baron 说,他的公司为移动应用开发团队提供了与崩溃相关的视频和屏幕截图,而这些视频和截图都是使用其 SDK 的应用程序。
他说,
要明确的是,我们没有捕捉到任何其他应用的任何信息。我们只是帮助开发人员理解崩溃前发生了什么,这样他们就可以更快的修复bug。
Baron 说 TestFairy SDK 没有打开任何文件的能力。另一方面,AppSee 却可以打开某些文档。
AppSee 是应用程序中的一个库,当用户在移动设备上下载或访问这些文件时,应用程序(如AutoCAD)可以打开 Word,Excel,PowerPoint 和 PDF。
AppSee 在一封电子邮件中回应道:
当应用程序包含用于调试或分析目的的 AppSee SDK 时,AppSee 有权访问这些文档。当用户打开这些文档时,AppSee 是有权截取屏幕截图的。
第三方数据共享
Appthority 的 Kywe 指出了一些事件,这些事件是指未经用户同意与第三方共享移动数据。7月,东北大学和加州大学圣巴巴拉分校的研究人员重点指出了一家快餐公司的应用程序 GoPuff,该应用程序捕获了包含邮政编码信息的交互截图。
AppSee 告诉 Threatpost,GoPuff 违反了该公司的服务条款,并拒绝进一步发表评论。
去年,医疗保健提供商 MDLive 面临一项由一名女性提起的集体诉讼,该女性声称,MDLive 移动应用程序通过 TestFairy SDK 共享用户的敏感信息。根据诉讼内容显示,屏幕截图收集了相关信息,其中包括各种健康信息,如健康状况、过敏情况、近期医疗事件和家族病史。
该投诉指出:
患者向 MDLive 提供医疗信息是为了获得医疗服务,将患者的医疗信息传输给治疗医生。他们期望 MDLive 能够使用适当的安全措施,比如加密和限制访问权限。然而,MDLive 未能充分限制对患者医疗信息的访问,反而向员工、代理商和第三方提供访问许可权限。
Baron 说,
TestFairy 收集的数据从未发送给“未知的第三方”。相反,数据是被发送到只有应用程序开发人员才能访问的私有云。
Baron 还表示,TestFairy 还有一点做得更过分。他们允许开发人员在拍摄屏幕截图时屏蔽敏感数据,如姓名、用户名、信用卡数据、位置信息和密码。
Baron 说:
保护信息安全的最好方法,首先就是不要让它存在。
Appthority 建议应从企业移动环境中删除不兼容的应用程序。
Kywe 说:
此外……企业安全团队应该格外关注这类能够访问其他企业数据的应用,比如地址簿和日历信息。
Appthority 表示,大约有 1350 个 Android 和大约 4000 个 iOS 应用程序在企业设备上使用屏幕录制功能。大约 200 个 Android 和 180 个基于iOS的应用程序,利用 TestFairy 提供屏幕捕获功能。◾️
Comments