5月21日消息,Check Point研究人员在分析报告中表示,约1亿用户的隐私数据遭泄露,原因是多个安卓应用中的错误配置,导致这些数据可能成为恶意行为者眼中的“肥肉”。
Check Point在分析报告中说:"由于应用程序在配置和集成第三方云服务时没有遵循最佳做法,约1亿用户的个人数据被暴露。”
"这种类型的错误不仅影响用户,还会影响开发人员。错误的配置使用户的个人数据和开发人员的内部资源,如更新机制的访问权、存储等置于风险之中。"
这一发现来自于对官方Google Play商店中23款安卓应用的研究,这些应用的下载量从1万到1000万不等,如Astro Guru、iFax、Logo Maker、Screen Recorder和T'Leva。
据Check Point称,这些问题源包括对实时数据库、推送通知和云存储密钥的错误配置,会导致电子邮件、电话号码、聊天信息、位置、密码、备份、浏览器历史记录和照片泄漏。
研究人员表示,由于数据库没有使用认证屏障保护,他们能够获得安哥拉打车应用T'Leva用户的数据,包括司机和乘客之间的信息交流,以及乘客的全名、电话号码、目的地和接车地点。
此外,研究人员发现,应用程序开发人员在应用中嵌入了发送推送通知和访问云存储服务所需的密钥。这不仅可以使恶意行为者更容易假冒开发者向所有用户发送恶意通知,还可以被利用来引导毫无戒心的用户进入钓鱼网页,从而中招更复杂的威胁行为。
同时,在应用程序中嵌入云存储访问密钥,也向其他攻击敞开了大门,对手可以掌握存储在云中的所有数据。研究人员在屏幕录像机和iFax这两个应用程序中观察到这种行为,他们通过该漏洞可以访问屏幕录像和传真文件。
Check Point指出,只有少数应用程序在该错误披露后改变了配置。剩下的大部分应用程序的用户仍面临着危险,如欺诈和身份盗窃。
Check Point移动研究经理Aviran Hazum说:"最终,受害者容易受到许多不同攻击载体的攻击,如冒充、身份盗窃、网络钓鱼和盗刷,"他补充说,这项研究 "揭示了一个令人不安的现实,应用程序开发人员不仅将用户的正常数据置于风险中,甚至还包括个人隐私数据。"
