More Than 4,000 Android Apps are Reportedly Leaking User Passwords

Kai kurie žmonės gali pateikti ilgą argumentų sąrašą prieš „Android“ naudojimą, ir galite lažintis, kad saugumas bus beveik viršuje. Skelbti programas „Google Play“ yra daug lengviau, palyginti su „Apple App Store“, ir kenkėjiškų programų operatoriai tuo naudojasi visomis galimybėmis. Nepaisant daugybės kampanijų ir dėl to įgyvendintų saugos priemonių, kenksmingoms programoms vis tiek pavyksta paslysti pro plyšius, o „Android“ vartotojams nuolat primenama, kad būkite atsargūs diegdami ir naudodami programinę įrangą.

Tačiau neseniai „Comparitech“ tyrėjų grupės atliktas tyrimas rodo, kad nesvarbu, koks budrus esate, vis tiek galite saugoti savo duomenis. Anot jos, dėl kai kurių konfigūravimo klaidų galima pasiekti milijonus įrašų, išsaugotų tūkstančių programų, naudojant vieną paieškos užklausą, ir šį kartą problema neapsiriboja „Android“.

Tūkstančiai „Firebase“ naudojamų programų saugo vartotojo duomenis neapsaugotose duomenų bazėse

Ekspertų komandai vadovavo Bobas Diachenko, kuris norėjo sužinoti daugiau apie tai, kaip kūrėjai naudoja „Firebase“. „Firebase“ yra programų kūrimo platforma, kuri programuotojams suteikia daugybę įrankių, skirtų mobiliųjų ir žiniatinklio programų valdymui, įskaitant autentifikavimo mechanizmus ir debesų pranešimų siuntimo galimybes. Diachenko domėjosi „Firebase“ duomenų saugojimo mechanizmais.

Tyrimai pradėti nuo šiek tiek daugiau nei pusės milijono „Android“ programų. Iš jų 155 tūkstančiai buvo pagrįsti „Firebase“, ir jis pasinaudojo platformos REST API, kad pasiektų programų saugomus duomenis. 11 730 programų duomenų bazės buvo viešai prieinamos ir nebuvo apsaugotos slaptažodžiu, o iš jų 4282 buvo neskelbtina informacija. Į nutekėjusius duomenis, be kita ko, buvo įtraukta:

• 156 tūkstančiai IP adresų
• 560 tūkst. Fizinių adresų
• 1 milijonas slaptažodžių
• 4,4 mln. Vartotojo vardų
• 5,3 milijono telefono numerių
• 6,2 mln. Įrašų su GPS duomenimis
• 6,8 milijono pokalbių pranešimų
• 7 milijonai el. Pašto adresų
• 18,3 milijono vardų

Be viso to, kai kuriuose paviešintuose įrašuose taip pat buvo kreditinių kortelių duomenys ir net asmens tapatybės dokumentų nuotraukos.

Dar labiau nerimą kelia tai, kad duomenys saugomi JSON formatu, o juos indeksuoja „Bing“. Kitaip tariant, atsisiųsti visą duomenų bazę, kurioje yra neskelbtinos informacijos, gali būti taip paprasta, kaip įvesti užklausą „Microsoft“ paieškos variklyje.

Kiek tiksliai yra problema?

Norėdama pabrėžti situacijos rimtumą, Diačenkos komanda bandė parodyti skaičius į perspektyvą. Pažeidžiamos programos sudaro mažiau nei 1% visų ekspertų išanalizuotų programų, kurios gali neskambinti kaip daug, tačiau jei manytume, kad visoje „Play“ parduotuvėje rodiklis yra vienodas, darytume išvadą, kad apie 24 tūkstančiai „Google Play“ siūlomų programų skleidžia slaptus duomenis. Ir jei jūs manote, kad tai nėra taip blogai, turbūt turėtumėte atsižvelgti į tai, kad apžvelgtos 4282 programos „Diachenko“ ir jo komandos bendras atsisiuntimų skaičius yra 4,22 mlrd.

Problema neapsiriboja „Google Play“ ir „Android“. Internetinių ir „iOS“ programų kūrėjai taip pat naudoja „Firebase“ ir galime tik spėlioti, kiek iš jų padarė tą pačią konfigūracijos klaidą.

4282 pažeidžiamų programų kūrėjai buvo paraginti apsaugoti savo duomenų bazes po to, kai Diachenko paviešino problemą „Google“, o programų mobiliesiems kūrėjams patariama būti šiek tiek atsargesniems nustatant savo „Firebase“ palaikomas programas. Tuo tarpu vartotojams nurodoma, kad jie turėtų naudoti unikalius slaptažodžius visose savo paskyrose ir neturėtų per daug dalintis informacija su savo išmaniųjų telefonų programomis. Deja, šiuo konkrečiu atveju tai yra viskas, ką jie gali padaryti.