23 aplikácií pre Android odhaľuje viac ako 100 000 000 osobných údajov používateľov

Nesprávne konfigurácie vo viacerých aplikáciách pre Android unikli citlivé údaje o viac ako 100 miliónoch používateľov, čo z nich potenciálne urobilo lukratívny cieľ pre škodlivých aktérov.

„Nedodržiavaním osvedčených postupov pri konfigurácii a integrácii cloudových služieb tretích strán do aplikácií boli odhalené súkromné ​​údaje miliónov používateľov,“ uviedli výskumníci Check Point v dnes zverejnenej analýze zdieľanej s The Hacker News.

“V niektorých prípadoch sa tento typ zneužitia týka iba používateľov, ale aj vývojári zostali zraniteľní. Nesprávne konfigurácie ohrozujú osobné údaje používateľov a interné zdroje vývojárov, ako je prístup k aktualizačným mechanizmom, úložiskám a ďalším.”

Zistenia pochádzajú z preskúmania 23 aplikácií pre Android, ktoré sú k dispozícii na úrade Google Play Store, z ktorých niektoré majú stiahnutia od 10 000 do 10 miliónov, ako napr Astro Guru, iFax, Logo Maker, Screen Recordera T’Leva.

Podľa Check Point problémy pramenia z nesprávnej konfigurácie databáz v reálnom čase, push notifikácií a kľúčov cloudového úložiska, čo vedie k úniku e-mailov, telefónnych čísel, chatových správ, polohy, hesiel, záloh, histórie prehliadačov a fotografií.

Tým, že nezabezpečili databázu za prekážkami autentifikácie, výskumníci uviedli, že boli schopní získať údaje patriace používateľom angolskej taxi aplikácie T’Leva, vrátane správ vymieňaných medzi vodičmi a cestujúcimi, ako aj úplných mien jazdcov, telefónnych čísel a cieľových miest. miesta vyzdvihnutia.

A čo viac, výskumníci zistili, že vývojári aplikácií vložili kľúče potrebné na odosielanie upozornení push a prístup k službám cloudového úložiska priamo do aplikácií. To by mohlo nielen uľahčiť zlým aktérom posielanie nečestných upozornení všetkým používateľom v mene vývojára, ale mohlo by to byť tiež použité ako zbraň na nasmerovanie nič netušiacich používateľov na phishingovú stránku, čím by sa stalo vstupným bodom pre sofistikovanejšie hrozby.

Odhalenie prístupových kľúčov k úložisku v cloude bez akýchkoľvek záruk tiež otvára dvere ďalším útokom, pri ktorých by sa protivník mohol dostať ku všetkým údajom uloženým v cloude – správanie, ktoré bolo pozorované v dvoch aplikáciách, Screen Recorder a iFax, čo dáva výskumníkom možnosť možnosť prístupu k nahrávkam obrazovky a faxovaným dokumentom.

Check Point poznamenáva, že iba niekoľko aplikácií zmenilo svoju konfiguráciu v reakcii na zodpovedné zverejnenie, čo znamená, že používatelia iných aplikácií sú naďalej náchylní na možné hrozby, ako sú podvody a krádeže identity, nehovoriac o využití ukradnutých hesiel na získanie prístupu k iným účtom. podvodne.

“V konečnom dôsledku sa obete stanú zraniteľnými voči mnohým rôznym vektorom útokov, ako sú odcudzenie identity, krádeže identifikácie, phishing a swipingy,” povedal Aviran Hazum, manažér mobilného výskumu Check Point, a dodal, že štúdia “vrhá svetlo na znepokojivú realitu, kam vývojári aplikácií umiestňujú ohrozené sú nielen ich údaje, ale aj údaje ich súkromných používateľov.“