超過4,000個Android應用程序在不知不覺中洩漏了用戶密碼和其他敏感數據
有些人可能會提出反對使用Android的一長串論據,而且您可以打賭,安全性將排在首位。與Apple的App Store相比,在Google Play上發布應用程序要容易得多,惡意軟件運營商正在充分利用這一優勢。儘管採取了許多行動,並採取了安全預防措施,但惡意應用仍然時不時地躲過漏洞,並且不斷提醒Android用戶在安裝和使用軟件時要格外小心。
但是,由Comparitech的一組研究人員進行的一項最新研究表明,無論您多麼警惕,您仍然可以暴露自己的數據。據它說,由於一些配置錯誤,可以通過一個搜索查詢訪問成千上萬個應用保存的數百萬條記錄,這一次,該問題不僅限於Android。
由Firebase驅動的數千個應用程序將用戶數據存儲在不受保護的數據庫中
專家團隊由Bob Diachenko領導,他想進一步了解開發人員如何使用Firebase。 Firebase是一個應用程序開發平台,為程序員提供了許多用於管理移動和Web應用程序的工具,包括身份驗證機制和雲消息傳遞功能。 Diachenko對Firebase的數據存儲機制感興趣。
該研究始於略微超過一百萬的Android應用程序。其中有15.5萬個基於Firebase,他使用平台的REST API訪問應用程序存儲的數據。其中11,730個應用程序的數據庫可公開訪問,並且不受密碼保護,其中4,282個包含敏感信息。洩漏的數據包括:
- 156,000個IP地址
- 56萬個物理地址
- 一百萬個密碼/li>
- 440萬用戶名
- 530萬個電話號碼
- 620萬條包含GPS數據的記錄
- 680萬條聊天消息
- 700萬個電子郵件地址
- 1830萬個名字
除了所有這些之外,一些暴露的記錄還包含信用卡數據,甚至包括身份證件的照片。
更令人擔憂的是,數據以JSON格式存儲,並且由Bing索引。換句話說,下載包含敏感信息的整個數據庫就像在Microsoft的搜索引擎中輸入查詢一樣容易。
問題到底有多大?
為了強調這種情況的嚴重性,迪亞琴科(Diachenko)的團隊試圖將這些數字視為現實。易受攻擊的應用僅佔專家分析的所有應用的不到1%,聽起來可能並不多,但是如果我們假設整個Play商店的使用率相同,則得出的結論是,大約有24個Google Play提供的數千種應用程序正在洩漏敏感數據。如果您認為還不錯,那麼您可能應該考慮Diachenko和他的團隊研究的4,282個應用程序的總下載量為42.2億。
問題不僅限於Google Play和Android。基於Web的應用程序和iOS應用程序的開發人員也使用Firebase,我們只能猜測其中有多少人犯了相同的配置錯誤。
Diachenko向Google披露了此問題後,敦促4,282個易受攻擊的應用程序的創建者保護其數據庫的安全,並且建議移動應用程序開發人員在安裝基於Firebase的應用程序時要格外小心。同時,用戶被告知他們應該為所有帳戶使用唯一的密碼,並且不應與智能手機上的應用程序共享太多信息。不幸的是,在這種情況下,這就是他們所能做的。