23 приложения для Android позволяют раскрыть личные данные более 100 000 000 пользователей

Если разработчики не исправят ситуацию, это может стать настоящей катастрофой.

23 приложения для Android позволяют раскрыть личные данные более 100 000 000 пользователей

Ошибки в конфигурации нескольких приложений для Android привели к утечке конфиденциальных данных более чем 100 миллионов пользователей, что потенциально делает их выгодной целью для злоумышленников.

«Из-за несоблюдения лучших практик при настройке и интеграции сторонних облачных сервисов в приложения, частные данные миллионов пользователей оказались в открытом доступе», – заявили исследователи Check Point в опубликованном сегодня анализе.

В большинстве подобных случаев от такого рода нарушений страдают только пользователи, однако разработчики также оставались в уязвимом положении. Неправильная конфигурация подвергает риску личные данные пользователей и внутренние ресурсы разработчиков, такие как доступ к механизмам обновления, хранилищу данных и т.д.

Выводы получены в результате исследования 23 приложений для Android, доступных в официальном магазине Google Play Store, некоторые из которых имеют количество загрузок от 10 000 до 10 миллионов экземпляров. Среди них, например, Astro Guru, iFax, Logo Maker, Screen Recorder и T'Leva.

По данным Check Point, проблемы возникли из-за неправильной конфигурации баз данных push-уведомлений и ключей облачного хранилища, что привело к утечке электронной почты, телефонных номеров, сообщений чата, местоположения, паролей, резервных копий, истории браузера и фотографий.

По словам исследователей, не защитив базу данных аутентификационными средствами, они смогли получить данные пользователей ангольского приложения для такси T'Leva, включая сообщения, которыми обменивались водители и пассажиры, а также полные имена, номера телефонов, места назначения и поездки.

Полученные данные из приложения T`Leva

Более того, исследователи обнаружили, что разработчики приложений встраивали ключи, необходимые для отправки push-уведомлений и доступа к облачным сервисам хранения данных, прямо в приложения. Это могло не только облегчить злоумышленникам отправку мошеннических уведомлений всем пользователям от имени разработчика, но и использоваться для перенаправления ничего не подозревающих пользователей на фишинговую страницу, чтобы впоследствии использовать её для более серьёзных атак.

Встраивание ключей доступа к облачным хранилищам в приложения также открывает двери для других атак, когда злоумышленник может получить доступ ко всем данным, хранящимся в облаке - такое поведение наблюдалось в двух приложениях, Screen Recorder и iFax, что дало исследователям возможность получить доступ к записям экрана и факсимильным документам.

Количество установок, утёкшие данные, уязвимости

Исследователи отмечают, что только несколько приложений изменили свою конфигурацию после сообщений о найденных уязвимостях. Это означает, что пользователи других приложений продолжают оставаться подверженными возможным угрозам, таким как мошенничество и кража личных данных, не говоря уже об использовании украденных паролей для получения доступа к другим учетным записям обманным путем.


23 Android Apps Expose Over 100,000,000 Users’ Personal Data
The Hacker News is the most popular, independent and trusted source for the latest news headlines on cybersecurity, hacking, computer security, cybercrime, privacy, vulnerabilities and technology for all businesses, information security professionals and hackers worldwide.


0 Комментариев
You've successfully subscribed to Apple SPb Event
Great! Next, complete checkout for full access to Apple SPb Event
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.