به گزارش کارگروه امنیت سایبربان؛ محققان شرکت امنیتی «Knight Ink» و شرکت حفاظت از رابطهای API تلفن همراه «Approov» اعلام کردند اپلیکیشنهای سلامت همراه در برابر حملات سایبری به رابطهای برنامهنویسی کاربردی یا همان API آسیبپذیر هستند. مهاجمان میتوانند با حمله به رابطهای این برنامهها به اطلاعات پزشکی و شخصی کاربران دسترسی پیدا کنند.
محققان در تحقیقات خود 30 اپلیکیشن محبوب سلامت همراه با 772 هزار بار میانگین دانلود مورد تجزیهوتحلیل قرارداده و به این نتیجه رسیدند در این برنامهها پین گواهینامهها انجام نشده و کاربران در معرض حملات مردمیانی قرارگرفتهاند.
بر طبق گزارش شرکتهای مذکور، 77 درصد از برنامهها فاقد کلیدهای ایپیآی، توکن و اعتبارنامه هستند. یکچهارم برنامهها در برابر مهندسی معکوس محافظت نشدهاند.
تمام نقاط پایانی ایپیآی برنامهها در برابر حملات صدور مجوز شکسته «Broken object level authorization- BOLA» آسیبپذیر هستند و امکان دسترسی مهاجمان به اطلاعات کاربر همچون آدرس، تاریخ تولد، شماره بیمه، داروهای مصرفی و حساسیتهای بیمار را فراهم میسازند. نیمی از رابطهای تستشده دسترسی به اطلاعات پاتولوژی، اشعه ایکس و نتایج بالینی بیماران را نیز میسر میسازد.
در حملات مذکور هکرها با سرقت اطلاعات ورود به سیستم و اعتبارنامههای کاربران در پوشش کاربر مجاز عمل میکنند و صدور مجوز در رابطه با دادهها، آنطور که باید انجام نمیشود و دسترسی غیرمجاز به دادهها فراهم میگردد.
