More Than 4,000 Android Apps are Reportedly Leaking User Passwords

Niektóre osoby mogą przedstawić długą listę argumentów przeciwko korzystaniu z Androida i możesz się założyć, że bezpieczeństwo będzie bardzo blisko szczytu. Publikowanie aplikacji w Google Play jest znacznie łatwiejsze niż w Apple App Store, a operatorzy złośliwego oprogramowania w pełni z tego korzystają. Pomimo licznych kampanii i wprowadzonych w związku z tym środków bezpieczeństwa, złośliwym aplikacjom wciąż udaje się prześlizgnąć przez pęknięcia, a użytkownikom Androida stale przypomina się, aby zachowali ostrożność przy instalowanym i używanym oprogramowaniu.

Ostatnie badania przeprowadzone przez zespół naukowców z firmy Comparitech pokazują jednak, że bez względu na to, jak czujny jesteś, nadal możesz ujawnić swoje dane. Zgodnie z nim, dzięki niektórym błędom w konfiguracji, za pomocą jednego zapytania można uzyskać dostęp do milionów rekordów zapisanych przez tysiące aplikacji, a tym razem problem nie ogranicza się do Androida.

Tysiące aplikacji opartych na Firebase przechowują dane użytkownika w niechronionych bazach danych

Zespołowi ekspertów kierował Bob Diachenko, który chciał dowiedzieć się więcej o tym, jak programiści używają Firebase. Firebase to platforma do tworzenia aplikacji, która zapewnia programistom szereg narzędzi do zarządzania aplikacjami mobilnymi i internetowymi, w tym mechanizmy uwierzytelniania i możliwości przesyłania wiadomości w chmurze. Diachenko był zainteresowany mechanizmami przechowywania danych Firebase.

Badania rozpoczęto od nieco ponad pół miliona aplikacji na Androida. 155 tysięcy z nich było opartych na Firebase, a on używał interfejsu API REST platformy do uzyskiwania dostępu do danych przechowywanych przez aplikacje. Bazy danych 11 730 aplikacji były publicznie dostępne i nie były chronione hasłem, a spośród nich 4 282 zawierały poufne informacje. Wyciekły dane obejmowały między innymi:

• 156 tysięcy adresów IP
• 560 tysięcy adresów fizycznych
• 1 milion haseł
• 4,4 miliona nazw użytkowników
• 5,3 miliona numerów telefonów
• 6,2 miliona rekordów zawierających dane GPS
• 6,8 miliona wiadomości czatu
• 7 milionów adresów e-mail
• 18,3 miliona nazwisk

Oprócz tego niektóre z odsłoniętych akt zawierały również dane karty kredytowej, a nawet zdjęcia dokumentów tożsamości.

Co gorsza, dane są przechowywane w formacie JSON i są indeksowane przez Bing. Innymi słowy, pobranie całej bazy danych pełnej poufnych informacji może być tak proste, jak wprowadzenie zapytania w wyszukiwarce Microsoft.

Jak duży jest dokładnie problem?

Aby podkreślić powagę sytuacji, zespół Diachenko próbował spojrzeć na liczby z innej perspektywy. Wrażliwe aplikacje stanowią mniej niż 1% wszystkich analizowanych przez ekspertów aplikacji, co może nie brzmieć dużo, ale jeśli założymy, że wskaźnik jest taki sam dla całego sklepu Play, dojdziemy do wniosku, że około 24 tysiące aplikacji oferowanych w Google Play wycieka poufne dane. A jeśli uważasz, że nie jest tak źle, prawdopodobnie powinieneś wziąć pod uwagę fakt, że 4 282 aplikacje, na które spojrzał Diachenko i jego zespół, mają łączną liczbę pobrań 4,22 miliarda.

Problem wykracza poza Google Play i Androida. Programiści aplikacji internetowych i iOS również używają Firebase i możemy tylko zgadywać, ile z nich popełniło ten sam błąd konfiguracji.

Twórcy 4282 podatnych aplikacji zostali poproszeni o zabezpieczenie swoich baz danych po tym, jak Diachenko ujawniło problem Google, a twórcom aplikacji mobilnych zaleca się zachowanie większej ostrożności przy konfigurowaniu aplikacji opartych na Firebase. Tymczasem użytkownikom mówi się, że powinni używać unikatowych haseł do wszystkich swoich kont i nie powinni udostępniać zbyt wielu informacji aplikacjom na swoich smartfonach. Niestety, w tym konkretnym przypadku to wszystko, co mogą zrobić.