В прилoжeнии «Пaркoвки Москвы» обнаружена уязвимость, позволяющая злоумышленникам получить персональные данные пользователей, в частности номер телефона и пароль от приложения. Об этом на конференции   #{MBLT}Dev в ходе своего доклада рассказал эксперт по компьютерной безопасности Андрей Беленко из компании   viaForensics.  

«Зачастую большинство случаев краж персональных данных пользователей происходит из-за халатности разработчиков, которые ненадлежащим образом скрывают в системе полученную пользовательскую информацию, ошибочно полагая, что в их коде никто не сможет и не захочет разбираться», — прокомментировал слайды г-н Беленко. При этом получить личную информацию, если она должным образом не зашифрована, можно за 5-10 минут.

.image-slider__item»
data-cycle-pause-on-hover=»#slider_532 .image-slider__crop»
data-cycle-pager=»#slider_532 .image-slider__pager»
data-cycle-prev=»#slider_532 .image-slider__prev»
data-cycle-next=»#slider_532 .image-slider__next»
data-cycle-swipe=»true»
data-cycle-loader=»wait»
data-cycle-allow-wrap=»false»>

В iOS, мобильной операционной системе Apple, установленной на всех смартфонах и планшетах компании, существует встроенный сервис Keychain («Связка ключей»), в котором хранятся пароли и личная пользовательская информация. Любой разработчик может настроить свое приложение таким образом, что пользовательская информация от этого приложения будет также храниться в ячейке Keychain, но, похоже, разработчики, сдавшие приложение правительству Москвы, поленились выполнить пару простых манипуляций, и поэтому персональные данные оказались непосредственно в файле настроек, так называемом файле plist, а значит доступны любому профессионалу в области IT за пару кликов мышки.