大量数据泄漏是由于Android应用使用了数百万次下载而配置错误的云服务造成的。
由于错误配置的云服务,导致超过1亿Android用户的个人数据被暴露。在大约23个应用程序中发现了此问题,该应用程序下载量高达1000万,其中包括内部开发人员资源。
Check Point研究人员在博客 中写道,该问题已得到确认,他们 在将第三方云服务配置/集成到应用程序中时,遵循最佳实践非常重要。研究人员指出:“在将第三方云服务配置和集成到应用程序时,如果不遵循最佳实践,就会暴露数百万用户的私人数据。”
数百万受影响的用户
这种类型的滥用不仅影响用户,还影响开发人员。这是因为用户的个人数据被暴露并处于风险之中,而开发人员的内部资源(如访问存储和更新机制)也面临风险。
根据Check Point的博客文章,这些应用程序可在Google Play商店中使用。他们共享的一些名称包括:
互联网传真
特莱娃
天文大师
徽标制作器
屏幕录像机。
研究人员指出,密码并不能保护应用程序开发人员用来在Cloud上存储数据的许多数据库。因此,任何人都可以访问超过1亿用户的敏感个人信息,包括:
名字
出生日期
地点
电子邮件地址
密码输入
相片
性别
聊天消息
付款详情
联系信息
推送信息等
样本数据:
应用数据泄漏一一个被低估的问题
出现配置错误问题的应用程序数量之多表明存在着根深蒂固的问题,网络骗子可以轻松利用此类应用程序来实现其邪恶的目标。由于应用程序开发人员将实时数据库用于Cloud Service中的数据存储,并与连接的客户端实时同步,因此轻微的错误可能会导致大量数据泄露。Check Point研究人员可以使用基于安哥拉的出租车应用程序T'Leva获得那些人的数据。他们可以轻松访问乘客与驾驶员之间交换的消息,以及乘客的全名,目的地/接送地点以及电话号码。所有这些都是可能的,因为数据库没有得到适当的保护。此外,应用程序开发人员嵌入了直接从应用程序发送推送通知和访问云服务所需的密钥。这可能使网络罪犯/诈骗者从开发者方面向用户发送虚假通知,或将用户重定向到网络钓鱼页面。
(来源:HACKREAD)