More Than 4,000 Android Apps are Reportedly Leaking User Passwords
Nogle mennesker kan producere en lang liste med argumenter mod at bruge Android, og du kan satse på, at sikkerheden vil være temmelig nær toppen. Det er meget lettere at offentliggøre apps på Google Play sammenlignet med Apples App Store, og malware-operatører drager fuld fordel af dette. På trods af de mange kampagner og de sikkerhedsforholdsregler, der blev implementeret som et resultat, lykkes skadelige apps stadig at glide gennem revnerne hver gang og igen, og Android-brugere bliver konstant mindet om at være forsigtige med den software, de installerer og bruger.
En nylig undersøgelse foretaget af et team af forskere fra Comparitech viser imidlertid, at uanset hvor årvågen du er, kan du stadig have dine data udsat. Ifølge det kan takket være nogle konfigurationsfejl fås adgang til millioner af poster, der er gemt af tusinder af apps, med en enkelt søgeforespørgsel, og denne gang er problemet ikke begrænset til Android.
Tusinder af Firebase-drevne applikationer gemmer brugerdata i ubeskyttede databaser
Holdet af eksperter blev ledet af Bob Diachenko, der ønskede at lære mere om, hvordan udviklere bruger Firebase. Firebase er en appudviklingsplatform, der giver programmører et antal værktøjer til styring af mobil- og webapplikationer, herunder godkendelsesmekanismer og cloud messaging-muligheder. Diachenko var interesseret i Firebase's datalagringsmekanismer.
Forskningen startede med lidt over en halv million Android-applikationer. 155 tusind af dem var baseret på Firebase, og han brugte platformens REST API til at få adgang til data gemt af apps. Databaserne over 11.730 af apps var offentligt tilgængelige og var ikke beskyttet af en adgangskode, og af dem indeholdt 4.282 følsomme oplysninger. De lækkede data omfattede blandt andet:
- 156 tusind IP-adresser
- 560 tusind fysiske adresser
- 1 million adgangskoder
- 4,4 millioner brugernavne
- 5,3 millioner telefonnumre
- 6,2 millioner poster, der indeholder GPS-data
- 6,8 millioner chatbeskeder
- 7 millioner e-mail-adresser
- 18,3 millioner navne
Ud over alt dette indeholdt nogle af de udsatte poster også kreditkortdata og endda fotos af ID-dokumenter.
Endnu mere foruroligende lagres dataene i JSON-format, og de indekseres af Bing. Med andre ord kan det være så let at downloade en hel database fuld af følsomme oplysninger som at indtaste en forespørgsel i Microsofts søgemaskine.
Hvor stort er problemet nøjagtigt?
For at understrege alvoret i situationen forsøgte Diachenko's team at sætte tallene i perspektiv. De sårbare apps udgør mindre end 1% af alle de applikationer, som eksperterne har analyseret, hvilket muligvis ikke lyder som meget, men hvis vi antager, at satsen er den samme for hele Play-butikken, ville vi nå frem til en konklusion om, at ca. tusind af de applikationer, der tilbydes på Google Play lækker følsomme data. Og hvis du mener, at dette ikke er så dårligt, skal du sandsynligvis overveje, at de 4.282 apps, som Diachenko og hans team kiggede på, har et samlet downloadtal på 4,22 milliarder.
Problemet spænder over Google Play og Android. Udviklere af webbaserede og iOS-applikationer bruger også Firebase, og vi kan kun gætte, hvor mange af dem der har begået den samme konfigurationsfejl.
Oprettelsen af de 4.282 sårbare apps blev opfordret til at sikre deres databaser, efter at Diachenko afslørede problemet for Google, og mobilappudviklere rådes til at være lidt mere forsigtige, når de opretter deres Firebase-drevne applikationer. I mellemtiden får brugerne besked om, at de skal bruge unikke adgangskoder til alle deres konti og ikke skulle dele for meget information med applikationerne på deres smartphones. Desværre er det i dette særlige tilfælde alt, hvad de kan gøre.
