More Than 4,000 Android Apps are Reportedly Leaking User Passwords
有些人可能会提出反对使用Android的一长串论据,而且您可以打赌,安全性将排在首位。与Apple的App Store相比,在Google Play上发布应用程序要容易得多,恶意软件运营商正在充分利用这一优势。尽管采取了许多行动,并采取了安全预防措施,但恶意应用仍然时不时地躲过漏洞,并且不断提醒Android用户在安装和使用软件时要格外小心。
但是,由Comparitech的一组研究人员进行的一项最新研究表明,无论您多么警惕,您仍然可以暴露自己的数据。据它说,由于一些配置错误,可以通过一个搜索查询访问成千上万个应用保存的数百万条记录,这一次,该问题不仅限于Android。
由Firebase驱动的数千个应用程序将用户数据存储在不受保护的数据库中
专家团队由Bob Diachenko领导,他想进一步了解开发人员如何使用Firebase。 Firebase是一个应用程序开发平台,为程序员提供了许多用于管理移动和Web应用程序的工具,包括身份验证机制和云消息传递功能。 Diachenko对Firebase的数据存储机制感兴趣。
该研究始于略微超过一百万的Android应用程序。其中有15.5万个基于Firebase,他使用平台的REST API访问应用程序存储的数据。其中11,730个应用程序的数据库可公开访问,并且不受密码保护,其中4,282个包含敏感信息。泄漏的数据包括:
- 156,000个IP地址
- 56万个物理地址
- 一百万个密码/li>
- 440万用户名
- 530万个电话号码
- 620万条包含GPS数据的记录
- 680万条聊天消息
- 700万个电子邮件地址
- 1830万个名字
除了所有这些之外,一些暴露的记录还包含信用卡数据,甚至包括身份证件的照片。
更令人担忧的是,数据以JSON格式存储,并且由Bing索引。换句话说,下载包含敏感信息的整个数据库就像在Microsoft的搜索引擎中输入查询一样容易。
问题到底有多大?
为了强调这种情况的严重性,迪亚琴科(Diachenko)的团队试图将这些数字视为现实。易受攻击的应用仅占专家分析的所有应用的不到1%,听起来可能并不多,但是如果我们假设整个Play商店的价格相同,我们得出的结论是大约有24个Google Play提供的数千种应用程序正在泄漏敏感数据。如果您认为还不错,那么您可能应该考虑Diachenko和他的团队研究的4,282个应用的总下载量为42.2亿。
问题不仅限于Google Play和Android。基于Web和iOS应用程序的开发人员也使用Firebase,我们只能猜测其中有多少人犯了相同的配置错误。
Diachenko向Google披露了此问题后,敦促4,282个易受攻击的应用程序的创建者保护其数据库的安全,并且建议移动应用程序开发人员在安装基于Firebase的应用程序时要格外小心。同时,用户被告知他们应该为所有帐户使用唯一的密码,并且不应与智能手机上的应用程序共享太多信息。不幸的是,在这种情况下,这就是他们所能做的。