Σύμφωνα με ερευνητές της Cybernews, ένα browsing app για συσκευές Android, με το όνομα Web Explorer – Fast Internet, άφησε ανοιχτό το Firebase instance, εκθέτοντας δεδομένα εφαρμογής και χρηστών.
Το Firebase είναι μια πλατφόρμα mobile application development που προσφέρει πολλές δυνατότητες, όπως στοιχεία ανάλυσης, hosting και αποθήκευση cloud σε πραγματικό χρόνο.
Σύμφωνα με τους ειδικούς, το Web Explorer – Fast Internet είναι μια εφαρμογή περιήγησης με πάνω από πέντε εκατομμύρια λήψεις στο Google Play store. Υπόσχεται υψηλότερες ταχύτητες περιήγησης από ανταγωνιστές, συμπεριλαμβανομένου του Chrome. Στις αξιολογήσεις έχει μέσο όρο 4,4 στα πέντε αστέρια, σε περισσότερες από 58.000 κριτικές.
Δείτε επίσης: Επίθεση phishing χρησιμοποιεί Facebook posts για να πετύχει τον σκοπό της
Βέβαια, παρά το γεγονός ότι έχει εκατομμύρια λήψεις, οι αριθμοί του Web Explorer – Fast Internet δεν είναι τίποτα σε σύγκριση με το Google Chrome. Τα δεδομένα του Google Play Store δείχνουν ότι το Chrome έχει ληφθεί περισσότερες από 10 δισεκατομμύρια φορές.
Σύμφωνα με την ερευνητική ομάδα, το ανοιχτό Firebase instance περιείχε redirect data, τα οποία παρουσιάζονταν με user ID. Αυτό περιελάμβανε χώρα, initiating address, redirect destination address και χώρα χρήστη.
“Εάν οι φορείς απειλών μπορούσαν να κάνουν de-anonymize τους χρήστες της εφαρμογής, θα μπορούσαν να ελέγξουν διάφορες πληροφορίες σχετικά με το ιστορικό περιήγησης για έναν συγκεκριμένο χρήστη και να τις χρησιμοποιήσουν για εκβιασμό“, ανέφεραν οι ερευνητές της Cybernews.
Ευτυχώς, η απόκτηση πρόσβασης στα δεδομένα που άφησε εκτεθειμένα η Android εφαρμογή Web Explorer – Fast Internet δεν είναι αρκετή από μόνη της. Ένας επιτιθέμενος θα πρέπει επίσης να αναζητήσει πού αποθηκεύουν οι app developers πρόσθετα δεδομένα χρηστών. Η διασταύρωση των δεδομένων που διέρρευσαν με πρόσθετες λεπτομέρειες θα ήταν αυτή που θα μπορούσε να προκαλέσει πραγματική ζημιά στους χρήστες της εφαρμογής.
Δείτε επίσης: MCCrash: Νέο Windows/Linux botnet για χρήση σε επιθέσεις DDoS
Οι ερευνητές ανακάλυψαν, επίσης, ότι η εφαρμογή είχε κωδικοποιημένες (hardcoded) ευαίσθητες πληροφορίες στο client side της εφαρμογής. Σύμφωνα με τη Cybernews, το Hardcoding ευαίσθητων πληροφοριών δεν θεωρείται καλή πρακτική, καθώς οι φορείς απειλών θα μπορούσαν να τις εξαγάγουν για κακόβουλη χρήση.
Το Android browsing app Web Explorer – Fast Internet είχε ένα hardcoded firebase_database_url key που οδηγεί σε μια βάση δεδομένων με ανώνυμο μερικό ιστορικό περιήγησης χρήστη, default_web_client_id, ένα μοναδικό public identifier που αποστέλλεται για μια εφαρμογή χρησιμοποιώντας το Firebase, gcm_defaultSenderId, ένα κλειδί που επιτρέπει την επικοινωνία μεταξύ διακομιστών.
Η εφαρμογή είχε επίσης τα google_api_key και google_api_id, που χρησιμοποιούνται και τα δύο για σκοπούς ελέγχου ταυτότητας.
Επιπλέον, η ομάδα βρήκε hardcoded στην εφαρμογή, τα google_crash_reporting_key και google_storage_bucket key. Οι φορείς απειλών μπορούν να εκμεταλλευτούν το πρώτο για να επηρεάσουν την εμπειρία του χρήστη.
Εν τω μεταξύ, αφήνοντας το google_storage_bucket_key hardcoded στην εφαρμογή, οι επιτιθέμενοι θα μπορούσαν να διαβάζουν και να γράφουν οποιεσδήποτε πληροφορίες στο ειδικό bucket στο Google Cloud Service (GCS), εάν το bucket δεν έχει authorization setup. Η ερευνητική ομάδα δεν έλεγξε αν το bucket ήταν δημόσια προσβάσιμο, ωστόσο αυτό εξακολουθεί να αποτελεί εσφαλμένη διαμόρφωση που θα μπορούσε να οδηγήσει σε περαιτέρω αποκάλυψη ευαίσθητων στοιχείων χρήστη.
Οι ερευνητές ισχυρίστηκαν ότι επικοινώνησαν με τους προγραμματιστές της Android εφαρμογής Web Explorer – Fast Internet όταν έκαναν την ανακάλυψη. Αν και δεν έλαβαν απάντηση, διαπίστωσαν ότι το ανοιχτό Firebase instance δεν είναι πλέον προσβάσιμο.
Δείτε επίσης: Gemini: Παραβίαση εξέθεσε δεδομένα 5,7 εκ. πελατών
Πλέον, οι φορείς απειλών δεν μπορούν να έχουν πρόσβαση σε ευαίσθητα redirect data, τα οποία θα μπορούσαν να τους επιτρέψουν να ελέγξουν τη δραστηριότητα των χρηστών του Web Explorer (με κάποια extra προσπάθεια βέβαια για απόκτηση περισσότερων πληροφοριών).
Τα δεδομένα στο Google Play store υποδεικνύουν ότι η εφαρμογή ενημερώθηκε τελευταία φορά στις 28 Οκτωβρίου 2020, που σημαίνει ότι τα “hardcoded secrets” υπάρχουν ακόμα.
“Δεδομένου ότι το πρόβλημα έχει πλέον λυθεί μόνο εν μέρει και δεν λάβαμε καμία απάντηση από τους προγραμματιστές της εφαρμογής, μπορούμε να μαντέψουμε μόνο ποιες άλλες πληροφορίες θα μπορούσαν να διαρρεύσουν“, δήλωσε η ερευνητική ομάδα της Cybernews.
Η έκθεση της Cybernews δείχνει ότι πρέπει να είμαστε πολύ προσεκτικοί με τις εφαρμογές που κατεβάζουμε στις συσκευές μας, καθώς υπάρχουν πολλοί κίνδυνοι!