Οι ερευνητές ασφαλείας ανακάλυψαν ότι τα προσωπικά δεδομένα περισσότερων από 100 εκατομμυρίων χρηστών Android έχουν εκτεθεί λόγω διαφόρων εσφαλμένων διαμορφώσεων των υπηρεσιών cloud.
Τα δεδομένα βρέθηκαν σε μη προστατευμένες real-time βάσεις δεδομένων που χρησιμοποιήθηκαν από 23 εφαρμογές με αριθμό λήψεων που κυμαίνεται από 10.000 έως 10 εκατομμύρια και περιλαμβάνει επίσης εσωτερικούς developer resources.
Δείτε επίσης: Google Chrome: Διορθώνει αυτόματα τα παραβιασμένα passwords σε Android
Δεκάδες δημοφιλείς εφαρμογές εκθέτουν δεδομένα χρηστών
Παρόλο που οι επισφαλείς real-time βάσεις δεδομένων δεν αποτελούν έκπληξη, η ανακάλυψη δείχνει ότι ορισμένοι προγραμματιστές Android δεν ακολουθούν βασικές πρακτικές ασφαλείας για να περιορίσουν την πρόσβαση στη βάση δεδομένων της εφαρμογής.
Ο αριθμός των mobile apps με προβλήματα λανθασμένης διαμόρφωσης δείχνει ότι πρόκειται για ένα διαδεδομένο πρόβλημα που μπορεί εύκολα να αξιοποιηθεί για κακόβουλους σκοπούς.
Οι προγραμματιστές εφαρμογών χρησιμοποιούν real-time βάσεις δεδομένων για να αποθηκεύουν δεδομένα στο cloud και να τα συγχρονίζουν σε πραγματικό χρόνο με συνδεδεμένους πελάτες.
Οι ερευνητές της Check Point διαπίστωσαν ότι ορισμένες από αυτές τις βάσεις δεδομένων αφέθηκαν απροστάτευτες και οποιοσδήποτε μπορούσε να έχει πρόσβαση σε προσωπικές πληροφορίες, μερικές από αυτές ευαίσθητες, που ανήκουν σε περισσότερους από 100 εκατομμύρια χρήστες.
Δείτε επίσης: Έξυπνες οικιακές συσκεύες: Android & Google Nest λαμβάνουν υποστήριξη για το Matter
Τα δεδομένα περιλαμβάνουν ονόματα, email, ημερομηνίες γέννησης, μηνύματα, τοποθεσία, φύλο, κωδικούς πρόσβασης, φωτογραφίες, λεπτομέρειες πληρωμής, αριθμούς τηλεφώνου, ειδοποιήσεις push.
Ορισμένες από τις εφαρμογές που εκθέτουν αυτόν τον τύπο πληροφοριών υπάρχουν στο Google Play και έχουν περισσότερες από 10 εκατομμύρια installations (Logo Maker, Astro Guru). Άλλοι, όπως το T’Leva, είναι λιγότερο δημοφιλείς, αλλά εξακολουθούν να έχουν σημαντική βάση χρηστών με αριθμό εγκαταστάσεων μεταξύ 10.000 και 500.000.
Οι ερευνητές βρήκαν επίσης ευαίσθητες λεπτομέρειες που σχετίζονται με τους προγραμματιστές σε ορισμένες από τις εφαρμογές. Σε μία εφαρμογή, βρήκαν τα credentials για υπηρεσίες ειδοποίησης push.
Στο Screen Recorder, μια άλλη εφαρμογή στο Google Play με πάνω από 10 εκατομμύρια εγκαταστάσεις, οι ερευνητές βρήκαν τα κλειδιά αποθήκευσης cloud που παρέχουν πρόσβαση στα screenshots από τη συσκευή των χρηστών.
Ανακάλυψαν ότι η εφαρμογή Android iFax αποθηκεύε τα κλειδιά αποθήκευσης cloud και η βάση δεδομένων περιείχε έγγραφα και μεταδόσεις φαξ από περισσότερους από 500.000 χρήστες.
Δείτε επίσης: Android 12: Τα εναλλακτικά app stores θα ενημερώνουν τα apps χωρίς να ενοχλούν τον χρήστη
Από τις 23 εφαρμογές που ανέλυσαν οι ερευνητές του Check Point, δώδεκα έχουν περισσότερες από 10 εκατομμύρια εγκαταστάσεις στο Google Play και οι περισσότερες από αυτές είχαν τη real time βάση δεδομένων χωρίς προστασία, εκθέτοντας ευαίσθητες πληροφορίες χρήστη.
Παρόλο που το ζήτημα δεν είναι νέο, είναι εκπληκτικό το γεγονός ότι οι εξαιρετικά δημοφιλείς εφαρμογές δεν επιβάλλουν βασικές πρακτικές ασφάλειας για την προστασία των χρηστών και των δεδομένων τους.
Πηγή πληροφοριών: bleepingcomputer.com
