Μια δημοφιλής εφαρμογή της Google Play, η Camera360 Ultimate, έχει βρεθεί να διαρρέει ακούσια ευαίσθητα δεδομένα. Αυτό δίνει σε κακόβουλα μέρη μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς και στις φωτογραφίες του Camera360 Cloud των χρηστών.
Η FireEye, η οποία είχε προηγουμένως ανακαλύψει ευπάθειες που βασίζονται σε SSL man-in-the-middle στην ευρέως χρησιμοποιούμενη εφαρμογή Camera360 και σε πολλές άλλες δημοφιλείς εφαρμογές, αποκάλυψε την αδυναμία.Η Camera360 είναι μια δημοφιλής εφαρμογή που τραβάει φωτογραφίες και τις επεξεργάζεται με εκατομμύρια χρήστες σε όλο τον κόσμο. Επιπλέον, προσφέρει μια δωρεάν υπηρεσία cloud για την αποθήκευση των εικόνων – για να χρησιμοποιήσουν την επιλογή του σύννεφου, οι χρήστες δημιουργούν έναν λογαριασμό στο cloud στον οποίο επίσης μπορούν να εισέλθουν μέσω της ιστοσελίδας www.cloud.camera360.com. Εκεί είναι και το ζήτημα.
Η πρόσβαση στο Cloud προστατεύεται από ένα username και το password. Αλλά όταν η εφαρμογή εισέλθει στο σύννεφο, υπάρχει διαρροή ευαίσθητων δεδομένων, σε μη κρυπτογραφημένη μορφή, με το αρχείο καταγραφής του συστήματος Android (logcat) και με την κυκλοφορία του δικτύου.
Οι εφαρμογές που μπορούν να διαβάσουν το logcat ή να αντιληφθούν την κυκλοφορία του δικτύου μπορούν να υποκλέψουν αυτά τα δεδομένα. Παράλληλα, μια κακόβουλη πλευρά που εμφανίζεται στο ίδιο δίκτυο Wi-Fi με τη συσκευή μπορεί να κλέψει αυτά τα δεδομένα με τη χρήση Wi-Fi sniffing.
“Τα δεδομένα που διέρρευσαν μπορούν να χρησιμοποιηθούν για να κατεβάσουν όλες τις φωτογραφίες του χρήστη, εκτός από εκείνες του μυστικού άλμπουμ του χρήστη”, εξήγησε η FireEye. “Η επιλογή του μυστικό άλμπουμ χρησιμοποιεί έναν πρόσθετο κωδικό πρόσβασης για να ασφαλίσει σημαντικές εικόνες. Η συγκεκριμένη εφαρμογή του Android δεν έχει πρόσβαση σε αυτές τις μυστικές εικόνες και όλες οι εικόνες που ανεβαίνουν από τη συσκευή στο cloud είναι εξ ορισμού μη-μυστικές.”
“Είναι ζωτικής σημασίας ότι οι προγραμματιστές εφαρμογών Android να βελτιώσουν την ασφάλεια για να παρέχουν στους χρήστες μια καλύτερη και μια πιο προστατευμένη εμπειρία Android”, κατέληξε η FireEye.
