More Than 4,000 Android Apps are Reportedly Leaking User Passwords

Vannak olyan emberek, akik hosszú érvekkel állíthatják elő az Android használatával szembeni érveket, és fogadhatunk azzal, hogy a biztonság a csúcspont közelében lesz. Az alkalmazások közzététele a Google Playen sokkal könnyebb, mint az Apple App Store-ban, és a rosszindulatú programok szolgáltatói teljes mértékben kihasználják ezt. A számos kampány és az ennek eredményeként végrehajtott biztonsági óvintézkedések ellenére a rosszindulatú alkalmazásoknak mindig és újra sikerül áttörni a repedéseket, és az Android-felhasználókat állandóan emlékeztetjük arra, hogy legyen óvatos a telepített és használt szoftverrel.

A közelmúltban a Comparitech kutatói csoportja által készített tanulmány azonban azt mutatja, hogy bármennyire éber is vagy, adatait továbbra is tárolhatja. Szerint néhány konfigurációs hibának köszönhetően több ezer alkalmazás által mentett rekordok milliói érhetők el egyetlen keresési lekérdezéssel, és ezúttal a probléma nem korlátozódik az Androidra.

Firebase-alapú alkalmazások ezrei tárolják a felhasználói adatokat nem védett adatbázisokban

A szakértői csoportot Bob Diachenko vezette, aki többet akart megtudni arról, hogy a fejlesztők hogyan használják a Firebase-t. A Firebase egy alkalmazásfejlesztő platform, amely számos programozót kínál a programozóknak a mobil és webes alkalmazások kezelésére, ideértve a hitelesítési mechanizmusokat és a felhő üzenetküldési képességeket. Diachenko érdeklődött a Firebase adattárolási mechanizmusai iránt.

A kutatás valamivel több mint félmillió Android-alkalmazással indult. Ezek közül 155 ezer a Firebase-en alapult, és a platform REST API-jával használta az alkalmazások által tárolt adatok elérését. A 11 730 alkalmazás adatbázisai nyilvánosan hozzáférhetők és nem voltak jelszóval védettek, ezek közül 4282 érzékeny információkat tartalmazott. A kiszivárogtatott adatok többek között a következőket tartalmazták:

• 156 ezer IP-cím
• 560 ezer fizikai cím
• 1 millió jelszó
• 4,4 millió felhasználónév
• 5,3 millió telefonszám
• 6,2 millió GPS-adatot tartalmazó rekord
• 6,8 millió csevegőüzenet
• 7 millió e-mail cím
• 18,3 millió név

Mindemellett a nyilvántartott nyilvántartások némelyike hitelkártya-adatokat, sőt személyi igazolványok fényképeit is tartalmazta.

Még ennél is aggasztóbb, hogy az adatokat JSON formátumban tárolják, és ezeket a Bing indexeli. Más szavakkal, egy érzékeny információkat tartalmazó teljes adatbázis letöltése ugyanolyan egyszerű lehet, mint a lekérdezés beírása a Microsoft keresőmotorjába.

Mennyire nagy a probléma?

A helyzet súlyosságának hangsúlyozására Diachenko csapata megpróbálta a számokat perspektívaba helyezni. A sérülékeny alkalmazások az összes szakértő által elemzett alkalmazás kevesebb, mint 1% -át teszik ki, ami valószínűleg nem soknak tűnik, de ha feltételezzük, hogy az arány a teljes Play Áruházban azonos, akkor arra a következtetésre jutunk, hogy kb. A Google Playen kínált alkalmazások ezre érzékeny adatokat szivárog. És ha úgy gondolja, hogy ez nem olyan rossz, akkor valószínűleg figyelembe kell vennie azt a tényt, hogy a Diachenko és csapata által megvizsgált 4282 alkalmazás összesített letöltési száma 4,22 milliárd volt.

A probléma túlmutat a Google Playen és az Androidon. A web alapú és iOS alkalmazások fejlesztői is használják a Firebase-t, és csak azt tudjuk kitalálni, hányan tették meg ugyanazt a konfigurációs hibát.

A 4282 sérülékeny alkalmazás készítőit felszólították az adatbázisuk biztonságára, miután Diachenko nyilvánosságra hozta a problémát a Google-nak, és a mobilalkalmazások fejlesztőinek javasoljuk, hogy legyen kissé óvatosabbak a Firebase-alapú alkalmazások beállításakor. Eközben a felhasználóknak azt mondják, hogy minden fiókjukhoz egyedi jelszavakat kell használniuk, és nem szabad megosztaniuk túl sok információt okostelefonjaik alkalmazásaival. Sajnos ebben az esetben csak mindent megtehetnek.