More Than 4,000 Android Apps are Reportedly Leaking User Passwords

Vissa människor kan producera en lång lista med argument mot att använda Android, och du kan satsa på att säkerheten kommer att vara ganska nära toppen. Att publicera appar på Google Play är mycket lättare jämfört med Apples App Store, och operatörer av skadlig programvara utnyttjar detta fullt ut. Trots de många kampanjerna och säkerhetsåtgärderna som genomfördes som resultat lyckas skadliga appar fortfarande glida igenom sprickorna då och då, och Android-användare påminns ständigt att vara försiktiga med programvaran de installerar och använder.

En ny studie som genomförts av ett team av forskare från Comparitech visar emellertid att oavsett hur vaksam du är, kan du fortfarande få dina data exponerade. Enligt det, tack vare vissa konfigurationsfel, kan miljontals poster som sparats av tusentals appar nås med en enda sökfråga, och den här gången är problemet inte begränsat till Android.

Tusentals brandbaserade applikationer lagrar användardata i oskyddade databaser

Teamet av experter leddes av Bob Diachenko som ville lära sig mer om hur utvecklare använder Firebase. Firebase är en apputvecklingsplattform som ger programmerare ett antal verktyg för hantering av mobil- och webbapplikationer, inklusive autentiseringsmekanismer och molnmeddelandefunktioner. Diachenko var intresserad av Firebases datalagringsmekanismer.

Forskningen började med drygt en halv miljon Android-applikationer. 155 tusen av dem var baserade på Firebase, och han använde plattformens REST API för att få åtkomst till data som lagras av apparna. Databaserna för 11 730 av apparna var offentligt tillgängliga och skyddades inte av ett lösenord, och av dem innehöll 4 282 känslig information. De läckta uppgifterna inkluderade bland annat:

• 156 tusen IP-adresser
• 560 tusen fysiska adresser
• 1 miljon lösenord
• 4,4 miljoner användarnamn
• 5,3 miljoner telefonnummer
• 6,2 miljoner poster som innehåller GPS-data
• 6,8 miljoner chattmeddelanden
• 7 miljoner e-postadresser
• 18,3 miljoner namn

Utöver allt detta innehöll några av de exponerade register även kreditkortsdata och till och med foton av ID-dokument.

Ännu mer oroväckande lagras data i JSON-format och indexeras av Bing. Med andra ord, nedladdning av en hel databas full av känslig information kan vara lika enkelt som att ange en fråga i Microsofts sökmotor.

Hur stort är problemet exakt?

För att betona allvarligheten i situationen försökte Diachenko's team att sätta siffrorna i perspektiv. De sårbara apparna utgör mindre än 1% av alla applikationer som experterna analyserade, vilket kanske inte låter som mycket, men om vi antar att hastigheten är densamma för hela Play-butiken, skulle vi komma fram till att cirka 24 tusentals applikationer som erbjuds på Google Play läcker känslig information. Och om du tycker att detta inte är så illa, bör du förmodligen beakta det faktum att de 4 282 appar som Diachenko och hans team tittade på har ett sammanlagt nedladdningsantal på 4,22 miljarder.

Problemet sträcker sig utöver Google Play och Android. Utvecklare av webbaserade och iOS-applikationer använder också Firebase, och vi kan bara gissa hur många av dem som har gjort samma konfigurationsfel.

Skaparna av de 4 282 sårbara apparna uppmanades att säkra sina databaser efter att Diachenko avslöjade problemet till Google, och mobilapputvecklare rekommenderas att vara lite mer försiktiga när de ställer in sina Firebase-drivna applikationer. Samtidigt berättas användare att de ska använda unika lösenord för alla sina konton och inte ska dela för mycket information med applikationerna på sina smartphones. Tyvärr, i det här fallet, är detta allt de kan göra.