Компанія Wandera, що спеціалізується на кібербезпеці, повідомила у своєму звіті, що як мінімум 23 додатки для конвертації файлів iOS (переведення в інші формати), якими користуються три мільйони осіб, не використовують будь-яке шифрування, що може піддати ризику документи і файли користувачів. Хоча всі згадані програми були створені одним розробником, експерти стверджують, що їх знахідка піднімає більш широку проблему безпеки.
Студія розробки Cometdocs випускає додатки, які конвертують документи з одного формату в інший. Наприклад, з Word до PDF або PDF-файлу у презентації Powerpoint. Проблема полягає в тому, що саме перетворення файлів відбувається на сервері Cometdocs, тому вихідні та перетворені документи надсилаються без будь-якої форми шифрування. Простіше кажучи, ці програми призначені для завантаження файлів на сервери розробника перед їх перетворенням і відправкою назад користувачеві.
Чим небезпечні конвертери файлів
Програма дозволяє користувачеві авторизуватися в декількох сервісах файлового хостингу, включаючи Gmail, iCloud, Dropbox, Google Drive, OneDrive і Box, щоб завантажити файли або зберегти отримані. Як альтернативу користувач може завантажити файл зі свого пристрою безпосередньо.
Проблема в тому, що програми Cometdocs передають файли без шифрування (просто через http), надаючи зловмисникам можливість кешувати і отримувати файли. Більш того, шахрай запросто може отримати доступ до файлів, відстежуючи трафік в тій же мережі Wi-Fi, що і користувач. Оскільки програми не використовують шифрування під час передачі та зберігання файлів на своїх серверах, вони дозволяють приватній інформації потрапити до рук третіх осіб.
Крім того, деякі безкоштовні додатки використовують схему обману: якщо користувач не платив за конвертацію, його спеціально змушують довго чекати, або пропонують заплатити, щоб файл був перетворений миттєво. Деякі користувачі скаржаться на очікування 60-90 хвилин і більше.
Повний список уразливих програм для перетворення файлів iOS можна знайти нижче. Користуєтеся одним з них? Розкажіть у нашому Telegram-чаті. Експерти з Wandera зв'язувалися з розробником три рази за останні три місяці, але не отримали відповіді.
Конвертери файлів, які не використовують шифрування
- Audio Converter by Cometdocs – Convert Audio Files
- Video Converter – Convert Video Files
- Compress PDF – Make PDF Smaller
- PDF Merge – Combine PDF Documents
- JPG to PDF Converter
- XPS to PDF Converter – Convert XPS files to PDF
- Save as PDF – from Anywhere – Convert Text, Word, Excel, OpenOffice, LibreOffice and other files to PDF – All in one PDF Converter
- Image to Text Converter – OCR
- Image to Excel Converter – OCR
- Image to Word Converter – OCR – Convert photos to Word documents
- PDF Creator – PowerPoint edition
- PDF Creator – Word edition
- DOC to DOCX
- DOCX to DOC
- PDF to AutoCAD Converter – Convert PDF to DWG
- PDF to Text Converter with OCR
- PDF to PowerPoint Converter
- PDF to Excel Converter – OCR
- PDF to JPG Converter (JPEG)
- Publisher to PDF Converter
- PDF Converter Ultimate – All In One Converter
- PDF to Word Converter with OCR
- MP3 Converter – Convert Videos and Music to MP3
У корпоративному сегменті проблема набуває серйозного масштабу. У наш час співробітники використовують персональні пристрої, які мають необмежений доступ до всіх додатків і сервісів, включаючи ті, які, на їхню думку, безпечні для роботи, в тому числі хмарні сховища і конвертери PDF. Безконтрольний доступ до цих сервісів підривається зусилля щодо забезпечення безпеки хмарних обчислень і надає конфіденційні дані, оскільки в ІТ-фахівців немає можливості контролювати, куди співробітник завантажує робочі документи.
Організації з належними рішеннями для управління мобільними пристроями повинні блокувати корпоративні дані за допомогою профілів конфігурації Apple для iOS, проте досі не всі компанії використовують їх.