Приложенията за Android излагат данни на милиони потребители чрез неуспешни облачни удостоверения

Изследователи, анализиращи приложения за Android, откриха сериозни неправилни конфигурации в облака, водещи до потенциално излагане на данни, принадлежащи на над 100 милиона потребители.

В доклад публикувано в четвъртък от Check Point Research, фирмата за киберсигурност заяви, че не по-малко от 23 популярни мобилни приложения съдържат разнообразие от „неправилни конфигурации на облачни услуги на трети страни“.

Днес облачните услуги се използват широко от онлайн услугите и приложенията, може би още повече поради бързото преминаване към отдалечена работа, причинена от пандемията на коронавируса. Макар да е полезен при управлението, съхранението и обработката на данни, отнема само един достъп за достъп или оторизация, за да се разкрият или изтекат съхраняваните записи.

По-специално приложенията често се интегрират с бази данни в реално време, за да съхраняват и синхронизират данни на различни платформи. Разработчиците на някои от изследваните приложения обаче не успяха да се уверят, че са налице механизми за удостоверяване.

Според CPR, 23-те разгледани приложения за Android – включително приложение за таксита, производител на лого, екранен рекордер, факс услуга и софтуер за астрология – са изтекли данни, включително имейл записи, съобщения в чата, информация за местоположението, потребителски идентификатори, пароли и изображения.

В 13 случая поверителните данни бяха публично достъпни в незащитени облачни настройки. Тези приложения отчитат между 10 000 и 10 милиона изтегляния всяко.

Докато разследва приложението за таксиметрови услуги, например, екипът успя да изпрати една проста заявка до базата данни на приложението и да изтегли съобщения, изпратени между шофьори и клиенти, имена, телефонни номера и места за взимане и връщане.

Облачните услуги, осигуряващи управление на бекенд данни за записващия екран и приложенията за факс, също не бяха адекватно защитени. CPR успя да възстанови ключовете за предоставяне на достъп до съхранени записи и факс документи, като анализира файловете на приложенията.

Бутоните за известие за натискане също бяха намерени в приложенията, оставени отворени за злоупотреба. Ако се експлоатират push услуги, те могат да се използват за изпращане на злонамерени сигнали до потребителите на приложения.

Изследователите казват, че тези неуспехи в сигурността се дължат на това, че разработчиците не спазват „най-добрите практики при конфигуриране и интегриране на облачни услуги на трети страни в техните приложения“.

“Тази погрешна конфигурация на бази данни в реално време не е нова, но [..] обхватът на проблема е все още твърде широк и засяга милиони потребители “, казва CPR.” Ако злонамерен актьор получи достъп до тези данни, това може да доведе до плъзгане на услугата (опитвайки се да използва същата комбинация потребителско име и парола на други услуги), измами и кражба на самоличност. “

CPR информира разработчиците на приложения за погрешните конфигурации преди разкриването и няколко са засилили контрола си.

По-рано този месец изследователите публикува съвет относно услугите за данни на Qualcomm MSM и откриването на уязвимост, която теоретично би могла да се използва за фалшифициране и инжектиране на зловреден код в модеми на Android телефони.


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com