Исследователи, анализирующие приложения для Android, обнаружили серьезные неправильные конфигурации облака, ведущие к потенциальному раскрытию данных, принадлежащих более чем 100 миллионам пользователей.
В отчете, опубликованном в четверг Check Point Research, компания по кибербезопасности сообщила, что не менее 23 популярных мобильных приложений содержат различные «неправильные конфигурации сторонних облачных сервисов».
Облачные сервисы широко используются онлайн-сервисы и приложения сегодня, возможно, даже в большей степени из-за быстрого перехода на удаленную работу, вызванного пандемией коронавируса. Хотя это полезно для управления, хранения и обработки данных, требуется только один контроль доступа или авторизации для раскрытия или утечки хранимых записей.
Приложения, в частности, часто интегрируются с базами данных в реальном времени для хранения и синхронизации данных на разных платформах. Однако разработчики некоторых из исследованных приложений не смогли убедиться в наличии механизмов аутентификации.
Согласно CPR, исследованы 23 приложения для Android, включая приложение для такси, производитель логотипов, устройство записи экрана, факс. , а также программное обеспечение для астрологии — утечка данных, включая записи электронной почты, сообщения чата, информацию о местоположении, идентификаторы пользователей, пароли и изображения.
В 13 случаях конфиденциальные данные были общедоступными в незащищенных облачных настройках. На каждое из этих приложений было загружено от 10 000 до 10 миллионов загрузок.
Например, при исследовании приложения службы такси команда смогла отправить один простой запрос в базу данных приложения и получить сообщения, отправленные между водителями и клиентами, с именами, номерами телефонов, а также с информацией о пикапе и места высадки.
Облачные службы, обеспечивающие внутреннее управление данными для приложений записи с экрана и факсов, также не были должным образом защищены. CPR смог восстановить ключи для предоставления доступа к сохраненным записям и факсимильным документам, проанализировав файлы приложений.
Ключи push-уведомлений также были обнаружены в приложениях, и их оставили открытыми для злоупотреблений. Если используются push-сервисы, их можно использовать для рассылки вредоносных предупреждений пользователям приложения.
Исследователи говорят, что эти сбои в системе безопасности вызваны тем, что разработчики не следуют «лучшим методам настройки и интеграции сторонних облачных сервисов в свои приложения».
«Эта неправильная конфигурация баз данных реального времени не нова, но [..] масштаб проблемы все еще слишком широк и затрагивает миллионы пользователей», — говорит CPR. «Если злоумышленник получит доступ к этим данным, это может потенциально привести к сервисному смахиванию (попытка использовать ту же комбинацию имени пользователя и пароля в других сервисах), мошенничеству и краже личных данных».
CPR сообщил приложению разработчики неверных конфигураций до раскрытия информации, а некоторые ужесточили контроль.
Ранее в этом месяце исследователи опубликовали рекомендации по службам данных Qualcomm MSM и обнаружению уязвимости, которая теоретически может быть использована для взлома и внедрения вредоносного кода в модемы телефонов Android.
Предыдущее и связанное с ним покрытие
Есть подсказка? Безопасно связывайтесь через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0
