20多个Android应用程序因错误配置泄漏了超过1亿用户的敏感数据。以色列安全公司Check Point研究人员,在5月21日发布的一份分析报告,在将第三方云服务配置和集成到应用程序中时,如果不遵循最佳实践配置,将会暴露数百万用户的私有数据。在某些情况下只会影响用户,但是,开发人员也容易受到攻击。错误的配置使用户的个人数据和开发人员的内部资源面临风险。针对Google官方应用商店Google Play中提供的23种Android应用程序的研究,不同的应用下载量从10,000到1,000万不等,例如Astro Guru、iFax、Logo Maker、Screen Recorder和T'Leva。据Check Point称,这些问题源于对实时数据库、推送通知和云存储密钥的错误配置,导致电子邮件、电话号码、聊天消息、位置、密码、备份、浏览器历史记录和照片溢出。研究人员发现,应用程序开发人员已将推送通知和访问云存储服务所需的密钥直接嵌入到应用程序中。这不仅可以使不良行为者更容易伪装开发人员向所有用户发送恶意通知,而且甚至可以将毫无戒心的用户定向到网络钓鱼页面,从而成为更复杂威胁的切入点。 同样,将云存储访问密钥嵌入到应用程序中,也为其他攻击打开了大门,在这种攻击中,攻击者可以获取云中存储的所有数据。在Screen Recorder和iFax这两个应用程序中都观察到了这种行为,可以访问屏幕录像和传真文档。Check Point指出,只有少数应用程序负责任响应披露而更改了配置,其他应用程序的用户仍然容易受到欺诈和身份盗窃等潜在威胁的影响,甚至利用被盗的密码来访问其他账户进行欺诈行为。Check Point移动研究经理Aviran Hazum指出,受害者容易受到许多不同的媒介的攻击,例如冒充、识别盗窃、网络钓鱼和服务刷卡。应用程序开发人员令人不安的现实是不仅他们的数据有风险,而且用户的个人隐私数据也有风险。
|