More Than 4,000 Android Apps are Reportedly Leaking User Passwords

4 Thousand Android Apps Leak Sensitive Information

Noen mennesker kan produsere en lang liste med argumenter mot å bruke Android, og du kan satse på at sikkerheten vil være ganske nær toppen. Å publisere apper på Google Play er mye enklere sammenlignet med Apples App Store, og malware-operatører drar full nytte av dette. Til tross for de mange kampanjene og sikkerhetsforholdene som ble implementert som et resultat, klarer fortsatt ondsinnede apper å glippe gjennom sprekkene nå og da, og Android-brukere blir stadig påminnet om å være forsiktige med programvaren de installerer og bruker.

En fersk undersøkelse utført av et team av forskere fra Comparitech viser imidlertid at uansett hvor årvåken du er, kan du fremdeles få dataene dine eksponert. I henhold til det, takket være noen konfigurasjonsfeil, kan millioner av poster som er lagret av tusenvis av apper nås med et enkelt søk, og denne gangen er problemet ikke begrenset til Android.

Tusenvis av brannbaserte applikasjoner lagrer brukerdata i ubeskyttede databaser

Teamet av eksperter ble ledet av Bob Diachenko som ønsket å lære mer om hvordan utviklere bruker Firebase. Firebase er en apputviklingsplattform som gir programmerere et antall verktøy for å administrere mobil- og webapplikasjoner, inkludert autentiseringsmekanismer og muligheter for skymeldinger. Diachenko var interessert i Firebase sine datalagringsmekanismer.

Forskningen startet med litt over en halv million Android-applikasjoner. 155 tusen av dem var basert på Firebase, og han brukte plattformens REST API for å få tilgang til data lagret av appene. Databasene til 11 730 av appene var offentlig tilgjengelige og var ikke beskyttet av passord, og av dem inneholdt 4.282 sensitiv informasjon. De lekkede dataene omfattet blant annet:

  • 156 tusen IP-adresser
  • 560 tusen fysiske adresser
  • 1 million passord
  • 4,4 millioner brukernavn
  • 5,3 millioner telefonnummer
  • 6,2 millioner poster som inneholder GPS-data
  • 6,8 millioner chatmeldinger
  • 7 millioner e-postadresser
  • 18,3 millioner navn

I tillegg til alt dette inneholdt noen av de utsatte postene også kredittkortdata og til og med bilder av ID-dokumenter.

Enda mer bekymringsfullt blir dataene lagret i JSON-format, og de indekseres av Bing. Med andre ord, nedlasting av en hel database full av sensitiv informasjon kan være like enkelt som å legge inn en spørring i Microsofts søkemotor.

Hvor stort er problemet nøyaktig?

For å understreke alvoret i situasjonen, prøvde Diachenko's team å sette tallene i perspektiv. De sårbare appene utgjør mindre enn 1% av alle applikasjonene ekspertene analyserte, som kanskje ikke høres ut som mye, men hvis vi antar at hastigheten er den samme for hele Play-butikken, vil vi komme til en konklusjon om at omtrent 24 tusen av applikasjonene som tilbys på Google Play, lekker sensitive data. Og hvis du tror at dette ikke er så ille, bør du sannsynligvis vurdere det faktum at de 4 282 appene Diachenko og teamet hans så på har et samlet nedlastningstall på 4,22 milliarder.

Problemet spenner over Google Play og Android. Utviklere av nettbaserte og iOS-applikasjoner bruker også Firebase, og vi kan bare gjette hvor mange av dem som har gjort den samme konfigurasjonsfeilen.

Skaperne av de 4 282 sårbare appene ble oppfordret til å sikre databasene sine etter at Diachenko avslørte problemet for Google, og mobilapputviklere anbefales å være litt mer forsiktige når de konfigurerer sine Firebase-drevne applikasjoner. I mellomtiden får brukerne beskjed om at de skal bruke unike passord for alle kontoene sine, og ikke bør dele for mye informasjon med applikasjonene på smarttelefonene sine. Dessverre, i dette tilfellet, er dette alt de kan gjøre.

May 13, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.