Ошибки в конфигурации нескольких приложений для Android привели к утечке конфиденциальных данных более чем 100 миллионов пользователей, что потенциально делает их выгодной целью для злоумышленников.
«Из-за несоблюдения лучших практик при настройке и интеграции сторонних облачных сервисов в приложения, частные данные миллионов пользователей оказались раскрытыми», - заявили исследователи CheckPoint в анализе, опубликованном сегодня и предоставленном изданию The Hacker News.
«В некоторых случаях от такого рода злоупотреблений страдают только пользователи, однако в данном случае разработчики приложений также оказались затронуты утечкой. Неправильная конфигурация подвергает риску личные данные пользователей и внутренние ресурсы разработчиков, такие как доступ к механизмам обновления, хранилище и т.д.».
Выводы получены в результате исследования 23-х доступных в официальном магазине Google Play Store приложений для Android, некоторые из которых имеют количество загрузок от 10 000 до 10 миллионов, например, Astro Guru, iFax, Logo Maker, Screen Recorder и T'Leva.
По данным Check Point, проблемы связаны с неправильной настройкой баз данных реального времени, push-уведомлений и ключей облачного хранения, что приводит к утечке электронной почты, номеров телефонов, сообщений чата, местоположения, паролей, резервных копий, истории браузера и фотографий.
По словам исследователей, из-за отсутствия защиты базы данных аутентификацией, они смогли получить данные пользователей ангольского приложения для такси T'Leva, включая сообщения, которыми обменивались водители и пассажиры, а также полные имена, номера телефонов, места назначения и отправления поездок.
Более того, исследователи обнаружили, что разработчики приложений встраивали ключи, необходимые для отправки push-уведомлений и доступа к облачным сервисам хранения данных, прямо в приложения. Это могло не только облегчить злоумышленникам отправку мошеннических уведомлений всем пользователям от имени разработчика, но и использоваться для перенаправления ничего не подозревающих пользователей на фишинговую страницу, становясь точкой входа для более сложных угроз.
Встраивание ключей доступа к облачным хранилищам в приложения открывает двери для других атак, в результате которых злоумышленники могут получить доступ ко всем хранящимся в облаке данным - такое поведение наблюдалось в двух приложениях, Screen Recorder и iFax, что дало исследователям возможность получить доступ к записям экрана и документам.
CheckPoint отмечает, что только несколько приложений изменили свою конфигурацию в ответ на раскрытие информации об уязвимостях, что означает, что пользователи других приложений продолжают оставаться уязвимыми к возможным угрозам, таким как мошенничество и кража личных данных, не говоря уже об использовании украденных паролей для получения доступа к другим учетным записям.
«В конечном итоге, из-за утечки пользователи становятся уязвимыми для множества различных векторов атак, таких как подмена и кража личности, фишинг, подмена сервисов», - заявил Авиран Хазум, менеджер по мобильным исследованиям Check Point, добавив, что исследование «проливает свет на тревожную реальность, когда разработчики приложений подвергают риску не только свои данные, но и приватные данные своих пользователей».
Перевод сделан со статьи: https://thehackernews.com
