More Than 4,000 Android Apps are Reportedly Leaking User Passwords
一部の人々は、Androidを使用することに反対する長い議論のリストを作成することができ、セキュリティはかなり上位にあると断言できます。 Google Playでのアプリの公開は、AppleのApp Storeに比べてはるかに簡単であり、マルウェアオペレーターはこれを最大限に活用しています。結果として実装された多数のキャンペーンとセキュリティ対策にもかかわらず、悪意のあるアプリは依然として時々クラックをすり抜けることができ、Androidユーザーはインストールして使用するソフトウェアに注意するように常に気づかれています。
しかし、 Comparitechの研究者チームが実施した最近の調査によると、どんなに警戒しても、データを公開することができます。それによると、いくつかの設定ミスのおかげで、何千ものアプリによって保存された何百万ものレコードが単一の検索クエリでアクセスでき、今回は問題はAndroidに限定されません。
Firebaseを利用した何千ものアプリケーションがユーザーデータを保護されていないデータベースに保存します
専門家チームは、開発者がFirebaseをどのように使用するかについてもっと知りたいと望んでいたボブディアチェンコによって率いられました。 Firebaseは、認証メカニズムやクラウドメッセージング機能など、モバイルおよびWebアプリケーションを管理するための多数のツールをプログラマーに提供するアプリ開発プラットフォームです。ディアチェンコは、Firebaseのデータストレージメカニズムに興味を持っていました。
調査は、50万個強のAndroidアプリケーションから始まりました。そのうち15万5千はFirebaseに基づいており、彼はプラットフォームのREST APIを使用してアプリによって保存されたデータにアクセスしました。 11,730のアプリのデータベースは一般にアクセス可能で、パスワードで保護されておらず、そのうちの4,282には機密情報が含まれていました。リークされたデータには、特に次のものが含まれます。
- 156千のIPアドレス
- 560千の物理アドレス
- 100万のパスワード
- ユーザー名440万
- 530万の電話番号
- GPSデータを含む620万レコード
- 680万のチャットメッセージ
- 700万のメールアドレス
- 1,830万人の名前
これらすべてに加えて、公開されたレコードの一部には、クレジットカードデータやID文書の写真も含まれていました。
さらに心配なことに、データはJSON形式で保存され、Bingによってインデックスが作成されます。言い換えると、機密情報でいっぱいのデータベース全体をダウンロードすることは、Microsoftの検索エンジンにクエリを入力するのと同じくらい簡単かもしれません。
問題の正確な大きさはどれくらいですか?
状況の深刻さを強調するために、ディアチェンコのチームは数値を見通しに入れようとしました。脆弱なアプリは、専門家が分析したすべてのアプリケーションの1%未満であり、それほど多くは聞こえないかもしれませんが、レートがPlayストア全体で同じであると仮定すると、約24の結論に達します。 Google Playで提供される数千のアプリケーションが機密データを漏洩しています。そして、これがそれほど悪くないと思うなら、Diachenkoと彼のチームが調べた4,282個のアプリの合計ダウンロード数が42億2000万であるという事実を考慮する必要があります。
問題はGoogle PlayとAndroidにとどまりません。 WebベースのアプリケーションとiOSアプリケーションの開発者もFirebaseを使用しており、同じ設定を誤ったアプリケーションの数だけを推測できます。
DiachenkoがGoogleに問題を公開した後、4,282個の脆弱なアプリの作成者はデータベースを保護するように求められました。モバイルアプリの開発者は、Firebaseを使用したアプリケーションを設定するときはもう少し注意することをお勧めします。一方、ユーザーには、すべてのアカウントに固有のパスワードを使用する必要があり、スマートフォン上のアプリケーションとあまり多くの情報を共有しないようにすべきであると言われています。残念ながら、この特定のケースでは、これができることのすべてです。
