天创培训:您身边的信息安全培训专家!
开班计划
2021•CISP-PTE四月开班通知
主讲老师   张老师
开课时间   4月
培训方式   线上课程+线下培训
授课天次   10
上课时间   4月19日-4月28日
课程介绍 在线报名
【@所有人】四月CISP认证集训火热开班!
主讲老师   张老师
开课时间   2021年4月
培训方式   线上课程+线下培训
授课天次   5
上课时间   4月
课程介绍 在线报名
CISAW信息安全保障从业人员认证|培训通道已开启!!!
主讲老师   张老师
开课时间   3月
培训方式   线下培训
授课天次   
上课时间   3月
课程介绍 在线报名
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

23个Android应用捕获了1亿用户泄露的敏感数据

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-05-24  关键词:Android,数据泄露

大量数据泄漏是由于Android应用使用了数百万次下载而配置错误的云服务造成的。

由于错误配置的云服务,导致超过1亿Android用户的个人数据被暴露。在大约23个应用程序中发现了此问题,该应用程序下载量高达1000万,其中包括内部开发人员资源。

Check Point研究人员在博客 中写道,该问题已得到确认,他们 在将第三方云服务配置/集成到应用程序中时,遵循最佳实践非常重要。研究人员指出:“在将第三方云服务配置和集成到应用程序时,如果不遵循最佳实践,就会暴露数百万用户的私人数据。”

数百万受影响的用户

这种类型的滥用不仅影响用户,还影响开发人员。这是因为用户的个人数据被暴露并处于风险之中,而开发人员的内部资源(如访问存储和更新机制)也面临风险。

根据Check Point的博客文章,这些应用程序可在Google Play商店中使用。他们共享的一些名称包括:

互联网传真

特莱娃

天文大师

徽标制作器

屏幕录像机。

研究人员指出,密码并不能保护应用程序开发人员用来在Cloud上存储数据的许多数据库。因此,任何人都可以访问超过1亿用户的敏感个人信息,包括:

名字

出生日期

地点

电子邮件地址

密码输入

相片

性别

聊天消息

付款详情

联系信息

推送信息等

样本数据:

Android,数据泄露

应用数据泄漏一一个被低估的问题

出现配置错误问题的应用程序数量之多表明存在着根深蒂固的问题,网络骗子可以轻松利用此类应用程序来实现其邪恶的目标。由于应用程序开发人员将实时数据库用于Cloud Service中数据存储,并与连接的客户端实时同步,因此轻微的错误可能会导致大量数据泄露。Check Point研究人员可以使用基于安哥拉的出租车应用程序T'Leva获得那些人的数据。他们可以轻松访问乘客与驾驶员之间交换的消息,以及乘客的全名,目的地/接送地点以及电话号码。所有这些都是可能的,因为数据库没有得到适当的保护。此外,应用程序开发人员嵌入了直接从应用程序发送推送通知和访问云服务所需的密钥。这可能使网络罪犯/诈骗者从开发者方面向用户发送虚假通知,或将用户重定向到网络钓鱼页面。

(来源:HACKREAD)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000