More Than 4,000 Android Apps are Reportedly Leaking User Passwords

4 Thousand Android Apps Leak Sensitive Information

Ορισμένα άτομα μπορούν να δημιουργήσουν μια μεγάλη λίστα επιχειρημάτων κατά της χρήσης Android και μπορείτε να στοιχηματίσετε ότι η ασφάλεια θα είναι αρκετά κοντά στην κορυφή. Η δημοσίευση εφαρμογών στο Google Play είναι πολύ πιο εύκολη σε σύγκριση με το App Store της Apple και οι πάροχοι κακόβουλου λογισμικού το εκμεταλλεύονται πλήρως αυτό. Παρά τις πολυάριθμες καμπάνιες και τις προφυλάξεις ασφαλείας που εφαρμόστηκαν ως αποτέλεσμα, κακόβουλες εφαρμογές εξακολουθούν να καταφέρνουν να περνούν από τις ρωγμές κάθε ξανά και ξανά, και οι χρήστες Android υπενθυμίζονται συνεχώς να είναι προσεκτικοί με το λογισμικό που εγκαθιστούν και χρησιμοποιούν.

Μια πρόσφατη μελέτη που διεξήχθη από μια ομάδα ερευνητών από την Comparitech, ωστόσο, δείχνει ότι ανεξάρτητα από το πόσο προσεκτικοί είστε, μπορείτε ακόμα να έχετε τα δεδομένα σας εκτεθειμένα. Σύμφωνα με αυτό, χάρη σε ορισμένα λάθη διαμόρφωσης, πρόσβαση σε εκατομμύρια εγγραφές που αποθηκεύονται από χιλιάδες εφαρμογές με ένα μόνο ερώτημα αναζήτησης, και αυτή τη φορά, το πρόβλημα δεν περιορίζεται στο Android.

Χιλιάδες εφαρμογές που λειτουργούν με Firebase αποθηκεύουν δεδομένα χρηστών σε μη προστατευμένες βάσεις δεδομένων

Η ομάδα εμπειρογνωμόνων ήταν επικεφαλής του Bob Diachenko που ήθελε να μάθει περισσότερα για το πώς χρησιμοποιούν οι προγραμματιστές το Firebase. Το Firebase είναι μια πλατφόρμα ανάπτυξης εφαρμογών που παρέχει στους προγραμματιστές ορισμένα εργαλεία για τη διαχείριση εφαρμογών για κινητά και ιστούς, συμπεριλαμβανομένων μηχανισμών ελέγχου ταυτότητας και δυνατοτήτων ανταλλαγής μηνυμάτων cloud. Η Diachenko ενδιαφερόταν για τους μηχανισμούς αποθήκευσης δεδομένων του Firebase.

Η έρευνα ξεκίνησε με λίγο πάνω από μισό εκατομμύριο εφαρμογές Android. 155 χιλιάδες από αυτούς βασίστηκαν στο Firebase και χρησιμοποίησε το REST API της πλατφόρμας για πρόσβαση σε δεδομένα που έχουν αποθηκευτεί από τις εφαρμογές. Οι βάσεις δεδομένων 11.730 των εφαρμογών ήταν προσβάσιμες στο κοινό και δεν προστατεύονταν με κωδικό πρόσβασης και από αυτές, 4.282 περιείχαν ευαίσθητες πληροφορίες. Τα δεδομένα που διέρρευσαν περιελάμβαναν, μεταξύ άλλων:

  • 156 χιλιάδες διευθύνσεις IP
  • 560 χιλιάδες φυσικές διευθύνσεις
  • 1 εκατομμύριο κωδικοί πρόσβασης
  • 4,4 εκατομμύρια ονόματα χρήστη
  • 5,3 εκατομμύρια αριθμοί τηλεφώνου
  • 6,2 εκατομμύρια εγγραφές που περιέχουν δεδομένα GPS
  • 6,8 εκατομμύρια μηνύματα συνομιλίας
  • 7 εκατομμύρια διευθύνσεις email
  • 18,3 εκατομμύρια ονόματα

Εκτός από όλα αυτά, ορισμένα από τα εκτεθειμένα αρχεία περιείχαν επίσης δεδομένα πιστωτικών καρτών και ακόμη και φωτογραφίες εγγράφων ταυτότητας.

Ακόμα πιο ανησυχητικό, τα δεδομένα αποθηκεύονται σε μορφή JSON και ευρετηριάζονται από τον Bing. Με άλλα λόγια, η λήψη ολόκληρης της βάσης δεδομένων με ευαίσθητες πληροφορίες θα μπορούσε να είναι τόσο εύκολη όσο η εισαγωγή ερωτήματος στη μηχανή αναζήτησης της Microsoft.

Πόσο μεγάλο είναι το πρόβλημα ακριβώς;

Για να τονίσει τη σοβαρότητα της κατάστασης, η ομάδα του Diachenko προσπάθησε να βάλει τους αριθμούς σε προοπτική. Οι ευάλωτες εφαρμογές περιλαμβάνουν λιγότερο από το 1% όλων των εφαρμογών που ανέλυσαν οι ειδικοί, οι οποίες μπορεί να μην ακούγονται πολύ, αλλά αν υποθέσουμε ότι η τιμή είναι η ίδια για ολόκληρο το Play store, θα καταλήγαμε σε ένα συμπέρασμα ότι περίπου 24 χιλιάδες από τις εφαρμογές που προσφέρονται στο Google Play διαρρέουν ευαίσθητα δεδομένα. Και αν νομίζετε ότι δεν είναι τόσο κακό, θα πρέπει πιθανώς να λάβετε υπόψη το γεγονός ότι οι 4.282 εφαρμογές που εξέτασε ο Diachenko και η ομάδα του έχουν συνολικό αριθμό λήψεων 4,22 δισεκατομμυρίων.

Το πρόβλημα εκτείνεται πέρα από το Google Play και το Android. Οι προγραμματιστές εφαρμογών που βασίζονται στον Ιστό και iOS χρησιμοποιούν επίσης το Firebase και μπορούμε να μαντέψουμε μόνο πόσα από αυτά έχουν κάνει το ίδιο λάθος διαμόρφωσης.

Οι δημιουργοί των 4.282 ευπαθών εφαρμογών παροτρύνθηκαν να ασφαλίσουν τις βάσεις δεδομένων τους αφού ο Diachenko αποκάλυψε το ζήτημα στην Google και οι προγραμματιστές εφαρμογών για κινητά συμβουλεύονται να είναι λίγο πιο προσεκτικοί κατά τη ρύθμιση των εφαρμογών τους που υποστηρίζονται από το Firebase. Εν τω μεταξύ, οι χρήστες λένε ότι πρέπει να χρησιμοποιούν μοναδικούς κωδικούς πρόσβασης για όλους τους λογαριασμούς τους και να μην μοιράζονται πάρα πολλές πληροφορίες με τις εφαρμογές στα smartphone τους. Δυστυχώς, σε αυτή τη συγκεκριμένη περίπτωση, αυτό είναι το μόνο που μπορούν να κάνουν.

May 13, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.