Ошибки в конфигурации нескольких приложений для Android привели к утечке конфиденциальных данных более чем 100 миллионов пользователей, что потенциально делает их выгодной целью для злоумышленников.
«Из-за несоблюдения лучших практик при настройке и интеграции сторонних облачных сервисов в приложения, частные данные миллионов пользователей оказались в открытом доступе», – заявили исследователи Check Point в опубликованном сегодня анализе.
В большинстве подобных случаев от такого рода нарушений страдают только пользователи, однако разработчики также оставались в уязвимом положении. Неправильная конфигурация подвергает риску личные данные пользователей и внутренние ресурсы разработчиков, такие как доступ к механизмам обновления, хранилищу данных и т.д.
Выводы получены в результате исследования 23 приложений для Android, доступных в официальном магазине Google Play Store, некоторые из которых имеют количество загрузок от 10 000 до 10 миллионов экземпляров. Среди них, например, Astro Guru, iFax, Logo Maker, Screen Recorder и T'Leva.
По данным Check Point, проблемы возникли из-за неправильной конфигурации баз данных push-уведомлений и ключей облачного хранилища, что привело к утечке электронной почты, телефонных номеров, сообщений чата, местоположения, паролей, резервных копий, истории браузера и фотографий.
По словам исследователей, не защитив базу данных аутентификационными средствами, они смогли получить данные пользователей ангольского приложения для такси T'Leva, включая сообщения, которыми обменивались водители и пассажиры, а также полные имена, номера телефонов, места назначения и поездки.
Более того, исследователи обнаружили, что разработчики приложений встраивали ключи, необходимые для отправки push-уведомлений и доступа к облачным сервисам хранения данных, прямо в приложения. Это могло не только облегчить злоумышленникам отправку мошеннических уведомлений всем пользователям от имени разработчика, но и использоваться для перенаправления ничего не подозревающих пользователей на фишинговую страницу, чтобы впоследствии использовать её для более серьёзных атак.
Встраивание ключей доступа к облачным хранилищам в приложения также открывает двери для других атак, когда злоумышленник может получить доступ ко всем данным, хранящимся в облаке - такое поведение наблюдалось в двух приложениях, Screen Recorder и iFax, что дало исследователям возможность получить доступ к записям экрана и факсимильным документам.
Исследователи отмечают, что только несколько приложений изменили свою конфигурацию после сообщений о найденных уязвимостях. Это означает, что пользователи других приложений продолжают оставаться подверженными возможным угрозам, таким как мошенничество и кража личных данных, не говоря уже об использовании украденных паролей для получения доступа к другим учетным записям обманным путем.
Ravie Lakshmanan
![[Видео] Что такое OnlyFans?](/content/images/size/w300/2021/05/OnlyFans.png)