More Than 4,000 Android Apps are Reportedly Leaking User Passwords

Некоторые люди могут привести длинный список аргументов против использования Android, и вы можете поспорить, что безопасность будет довольно высокой. Публикация приложений в Google Play намного проще по сравнению с Apple App Store, и операторы вредоносных программ в полной мере используют это. Несмотря на многочисленные кампании и меры предосторожности, которые были реализованы в результате, вредоносным приложениям все еще время от времени удается пробираться сквозь трещины, и пользователям Android постоянно напоминают о необходимости быть осторожными с программным обеспечением, которое они устанавливают и используют.

Однако недавнее исследование, проведенное группой исследователей из Comparitech, показывает, что независимо от того, насколько вы бдительны, ваши данные все равно могут быть раскрыты. В соответствии с этим, благодаря некоторым ошибкам конфигурации, миллионы записей, сохраненных тысячами приложений, могут быть доступны с помощью одного поискового запроса, и на этот раз проблема не ограничивается Android.

Тысячи приложений на базе Firebase хранят пользовательские данные в незащищенных базах данных

Группу экспертов возглавлял Боб Дьяченко, который хотел узнать больше о том, как разработчики используют Firebase. Firebase - это платформа для разработки приложений, которая предоставляет программистам ряд инструментов для управления мобильными и веб-приложениями, включая механизмы аутентификации и возможности обмена сообщениями в облаке. Дьяченко интересовался механизмами хранения данных Firebase.

Исследование началось с чуть более полумиллиона приложений для Android. 155 тысяч из них были основаны на Firebase, и он использовал REST API платформы для доступа к данным, хранящимся в приложениях. Базы данных 11 730 приложений были общедоступными и не были защищены паролем, а 4 422 из них содержали конфиденциальную информацию. Утечка данных включала, среди прочего:

• 156 тысяч IP-адресов
• 560 тысяч физических адресов
• 1 миллион паролей
• 4,4 миллиона имен пользователей
• 5,3 миллиона телефонных номеров
• 6,2 миллиона записей, содержащих данные GPS
• 6,8 миллиона сообщений чата
• 7 миллионов адресов электронной почты
• 18,3 миллиона имен

В дополнение ко всему этому, некоторые из представленных записей также содержали данные кредитных карт и даже фотографии документов, удостоверяющих личность.

Еще более тревожно то, что данные хранятся в формате JSON и индексируются Bing. Другими словами, загрузка всей базы данных, полной конфиденциальной информации, может быть такой же простой, как ввод запроса в поисковую систему Microsoft.

Насколько велика проблема именно?

Чтобы подчеркнуть серьезность ситуации, команда Дьяченко попыталась представить цифры в перспективе. Уязвимые приложения составляют менее 1% всех приложений, проанализированных экспертами, что может показаться не таким уж большим, но если мы предположим, что показатель одинаков для всего магазина Play, мы придем к выводу, что около 24 тысячи приложений, предлагаемых в Google Play, содержат утечку конфиденциальных данных. И если вы думаете, что это не так уж и плохо, вам, вероятно, следует учитывать тот факт, что 4282 приложения, на которые смотрел Дьяченко и его команда, имеют общее количество скачиваний 4,22 миллиарда.

Проблема распространяется не только на Google Play и Android. Разработчики веб-приложений и приложений для iOS также используют Firebase, и мы можем только догадываться, сколько из них допустили одну и ту же ошибку конфигурации.

После того, как Дьяченко сообщил об этой проблеме в Google, создателям 4 282 уязвимых приложений было предложено защитить свои базы данных, и разработчикам мобильных приложений рекомендуется быть более осторожными при настройке приложений на базе Firebase. Тем временем пользователям говорят, что они должны использовать уникальные пароли для всех своих учетных записей и не должны делиться слишком большой информацией с приложениями на своих смартфонах. К сожалению, в данном конкретном случае это все, что они могут сделать.