More Than 4,000 Android Apps are Reportedly Leaking User Passwords

4 Thousand Android Apps Leak Sensitive Information

Sommige mensen kunnen een lange lijst met argumenten tegen het gebruik van Android opstellen en je kunt er zeker van zijn dat de beveiliging bijna bovenaan zal staan. Het publiceren van apps op Google Play is veel eenvoudiger in vergelijking met de App Store van Apple, en malware-exploitanten profiteren hier volledig van. Ondanks de vele campagnes en de beveiligingsmaatregelen die daardoor zijn geïmplementeerd, slagen kwaadaardige apps er nog steeds in om zo nu en dan door de kieren te glippen en worden Android-gebruikers er constant aan herinnerd om voorzichtig te zijn met de software die ze installeren en gebruiken.

Een recent onderzoek, uitgevoerd door een team van onderzoekers van Comparitech, laat echter zien dat, hoe waakzaam je ook bent, je je gegevens nog steeds kunt laten zien. Volgens enkele van de configuratiefouten zijn miljoenen records die zijn opgeslagen door duizenden apps toegankelijk met één enkele zoekopdracht, en deze keer is het probleem niet beperkt tot Android.

Duizenden door Firebase aangedreven applicaties slaan gebruikersgegevens op in onbeschermde databases

Het team van experts stond onder leiding van Bob Diachenko, die meer wilde weten over hoe ontwikkelaars Firebase gebruiken. Firebase is een app-ontwikkelplatform dat programmeurs een aantal tools biedt voor het beheer van mobiele en webapplicaties, waaronder authenticatiemechanismen en mogelijkheden voor cloudberichten. Diachenko was geïnteresseerd in de gegevensopslagmechanismen van Firebase.

Het onderzoek begon met iets meer dan een half miljoen Android-applicaties. 155 duizend van hen waren gebaseerd op Firebase en hij gebruikte de REST API van het platform om toegang te krijgen tot gegevens die door de apps waren opgeslagen. De databases van 11.730 van de apps waren openbaar toegankelijk en waren niet beveiligd met een wachtwoord, en 4.282 daarvan bevatten gevoelige informatie. De gelekte gegevens omvatten onder meer:

  • 156 duizend IP-adressen
  • 560 duizend fysieke adressen
  • 1 miljoen wachtwoorden
  • 4,4 miljoen gebruikersnamen
  • 5,3 miljoen telefoonnummers
  • 6,2 miljoen records met GPS-gegevens
  • 6,8 miljoen chatberichten
  • 7 miljoen e-mailadressen
  • 18,3 miljoen namen

Naast dit alles bevatten sommige van de blootgestelde records ook creditcardgegevens en zelfs foto's van ID-documenten.

Nog zorgwekkender is dat de gegevens worden opgeslagen in JSON-indeling en worden geïndexeerd door Bing. Met andere woorden, het downloaden van een volledige database vol gevoelige informatie kan net zo eenvoudig zijn als het invoeren van een zoekopdracht in de zoekmachine van Microsoft.

Hoe groot is het probleem precies?

Om de ernst van de situatie te benadrukken, probeerde het team van Diachenko de cijfers in perspectief te plaatsen. De kwetsbare apps bevatten minder dan 1% van alle applicaties die de experts hebben geanalyseerd, wat misschien niet veel klinkt, maar als we aannemen dat het tarief hetzelfde is voor de hele Play Store, komen we tot de conclusie dat ongeveer 24 duizend van de applicaties die op Google Play worden aangeboden, lekken gevoelige gegevens. En als u denkt dat dit niet zo erg is, moet u waarschijnlijk rekening houden met het feit dat de 4.282 apps die Diachenko en zijn team hebben bekeken een gecombineerd downloadaantal van 4,22 miljard hebben.

Het probleem reikt verder dan Google Play en Android. Ontwikkelaars van webgebaseerde en iOS-applicaties gebruiken ook Firebase en we kunnen alleen raden hoeveel van hen dezelfde configuratiefout hebben gemaakt.

De makers van de 4.282 kwetsbare apps werden aangespoord om hun databases te beveiligen nadat Diachenko het probleem aan Google had bekendgemaakt, en ontwikkelaars van mobiele apps wordt aangeraden wat voorzichtiger te zijn bij het instellen van hun door Firebase aangedreven applicaties. Ondertussen krijgen gebruikers te horen dat ze voor al hun accounts unieke wachtwoorden moeten gebruiken en niet te veel informatie mogen delen met de applicaties op hun smartphones. Helaas is dit in dit specifieke geval alles wat ze kunnen doen.

May 13, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.