Данные более 100 миллионов пользователей Android доступны через неправильно настроенные облачные сервисы

Исследователи безопасности обнаружили, что личные данные более 100 миллионов пользователей Android были раскрыты из-за различных неправильных настроек облачных сервисов.

Данные были обнаружены в незащищенных базах данных в реальном времени, используемых 23 приложениями с количеством загрузок от 10 000 до 10 миллионов, а также включают внутренние ресурсы разработчиков.

Десятка популярных приложений раскрывают пользовательские данные

Хотя неправильно настроенные базы данных реального времени не являются сюрпризом, открытие показывает, что некоторые разработчики Android не следуют основным методам безопасности, чтобы ограничить доступ к базе данных приложения.

Количество мобильных приложений с ошибками настройки показывает, что это широко распространенная проблема, которую можно легко использовать в злонамеренных целях.

Разработчики приложений используют базы данных в реальном времени для хранения данных в облаке и синхронизации их в реальном времени с подключенными клиентами.

Исследователи Check Point обнаружили, что некоторые из этих баз данных остались незащищенными, и любой мог получить доступ к личной информации, в том числе конфиденциальной, принадлежащей более чем 100 миллионам пользователей.

Данные включают имена, адреса электронной почты, даты рождения, сообщения чата, местоположение, пол, пароли, фотографии, платежные реквизиты, номера телефонов, push-уведомления.

Некоторые из приложений, раскрывающих этот тип информации, присутствуют в Google Play и имеют более 10 миллионов установок ( Logo Maker , Astro Guru ). Другие, такие как T’Leva , менее популярны, но по-прежнему имеют значительную базу пользователей с количеством установок от 10 000 до 500 000.

Ключи доступа внутри

Исследователи также обнаружили конфиденциальные детали, относящиеся к разработчикам, встроенные в некоторые из протестированных приложений. В одном приложении они нашли учетные данные для служб push-уведомлений.

В Screen Recorder , другом приложении в Google Play с более чем 10 миллионами установок, исследователи обнаружили ключи облачного хранилища, которые дают доступ к снимкам экрана пользователей с устройства.

Они обнаружили, что приложение iFax для Android также хранит ключи облачного хранилища, а база данных содержит документы и факсы от более чем 500 000 пользователей.

Некоторые разработчики, однако, приняли принцип «безопасность через неясность» и скрыли секретный ключ, используя кодировку base64, которая не добавляет защиты, поскольку декодирование не защищено.

«Даже если приложение не использует ключи с открытым текстом, все, что нужно, – это найти фрагмент кода, который инициализирует интерфейс облачной службы, который в основном принимает эти ключи в качестве параметров и отслеживает их значение. В конце концов, если ключи будут встроены в приложение, мы получим их значение »- Check Point

Из 23 приложений, проанализированных исследователями Check Point, у дюжины установлено более 10 миллионов установок в Google Play, и у большинства из них база данных в реальном времени была незащищенной, что открывало доступ к конфиденциальной информации пользователя.

Источник https://bdroid.ru/

Оставьте комментарий