More Than 4,000 Android Apps are Reportedly Leaking User Passwords
Alcune persone possono produrre un lungo elenco di argomenti contro l'utilizzo di Android e puoi scommettere che la sicurezza sarà abbastanza vicino alla cima. La pubblicazione di app su Google Play è molto più semplice rispetto all'App Store di Apple e gli operatori di malware ne stanno sfruttando appieno. Nonostante le numerose campagne e le precauzioni di sicurezza che sono state implementate di conseguenza, le app dannose riescono ancora a sfuggire alle crepe di tanto in tanto e agli utenti Android viene costantemente ricordato di fare attenzione con il software che installano e utilizzano.
Un recente studio condotto da un team di ricercatori di Comparitech, tuttavia, mostra che, indipendentemente dalla tua vigilanza, puoi comunque esporre i tuoi dati. Secondo esso, grazie ad alcuni errori di configurazione, è possibile accedere a milioni di record salvati da migliaia di app con una singola query di ricerca e, questa volta, il problema non è limitato ad Android.
Migliaia di applicazioni basate su Firebase archiviano i dati utente in database non protetti
Il team di esperti era guidato da Bob Diachenko che voleva saperne di più su come gli sviluppatori utilizzano Firebase. Firebase è una piattaforma di sviluppo di app che offre ai programmatori una serie di strumenti per la gestione di applicazioni mobili e Web, inclusi meccanismi di autenticazione e funzionalità di messaggistica cloud. Diachenko era interessato ai meccanismi di memorizzazione dei dati di Firebase.
La ricerca è iniziata con poco più di mezzo milione di applicazioni Android. 155 mila di loro erano basati su Firebase e ha usato l'API REST della piattaforma per accedere ai dati archiviati dalle app. I database di 11.730 delle app erano accessibili al pubblico e non erano protetti da password e, 4.282, contenevano informazioni riservate. I dati trapelati includevano, tra le altre cose:
- 156 mila indirizzi IP
- 560 mila indirizzi fisici
- 1 milione di password /li>
- 4,4 milioni di nomi utente
- 5,3 milioni di numeri di telefono
- 6,2 milioni di record contenenti dati GPS
- 6,8 milioni di messaggi di chat
- 7 milioni di indirizzi e-mail
- 18,3 milioni di nomi
Oltre a tutto ciò, alcuni dei documenti esposti contenevano anche i dati della carta di credito e persino le foto dei documenti di identità.
Ancora più preoccupante, i dati sono archiviati in formato JSON ed è indicizzato da Bing. In altre parole, scaricare un intero database pieno di informazioni riservate potrebbe essere facile come inserire una query nel motore di ricerca di Microsoft.
Quanto è grande esattamente il problema?
Per enfatizzare la gravità della situazione, il team di Diachenko ha cercato di mettere i numeri in prospettiva. Le app vulnerabili comprendono meno dell'1% di tutte le applicazioni analizzate dagli esperti, il che potrebbe non sembrare molto, ma se assumiamo che il tasso sia lo stesso per l'intero Play Store, arriveremmo a una conclusione che circa 24 migliaia di applicazioni offerte su Google Play perdono dati sensibili. E se pensi che non sia così male, dovresti probabilmente considerare il fatto che le 4.282 app che Diachenko e il suo team hanno esaminato hanno un conteggio dei download combinato di 4,22 miliardi.
Il problema va oltre Google Play e Android. Gli sviluppatori di applicazioni web e iOS usano anche Firebase e possiamo solo immaginare quanti di loro abbiano commesso lo stesso errore di configurazione.
I creatori delle 4.282 app vulnerabili sono stati invitati a proteggere i loro database dopo che Diachenko ha rivelato il problema a Google e agli sviluppatori di app mobili è stato consigliato di fare un po 'più attenzione quando configurano le loro applicazioni basate su Firebase. Nel frattempo, agli utenti viene detto che devono utilizzare password univoche per tutti i loro account e non devono condividere troppe informazioni con le applicazioni sui loro smartphone. Sfortunatamente, in questo caso particolare, è tutto ciò che possono fare.