來源:CSDN
應用軟件泄露用戶數據早已是個屢見不鮮的話題,但每每提起,還是不得不感慨其中難以防范的危險,尤其是當影響范圍過大、自己也可能是 " 受害者 " 時。
昨日,網絡安全公司 Check Point Research(以下簡稱 CPR)發布了一份報告:由于開發者沒有正確配置第三方云服務,部分流行的 Android 應用泄露了超過 1 億用戶的個人數據。
多種錯誤配置
CPR 團隊表示,通過對 23 款應用進行測試,他們發現可以從多種錯誤配置的云服務入手,獲取用戶個人數據以及開發者的內部資源。
實時數據庫
實時數據庫允許應用開發者將數據存儲在云中,以確保數據實時同步到每個連接的客戶端。一般情況下開發者為保護數據隱私,都會涉及一個基本功能——通過身份驗證才能配置實時數據庫。
可就是這樣的一般情況,許多流行應用都沒有做到。
經過嘗試,CPR 發現可以從應用的公共數據庫中恢復許多用戶的私密信息,包括電子郵箱、密碼、聊天記錄、設備位置等。由此,CPR 推測,一旦惡意攻擊者訪問到這些數據,很有可能用來進行欺詐、盜號等行為。
從 Astro Guru 中,CPR 可以獲取用戶的姓名、出生日期、性別、位置、電子郵件和付款明細;從 T'Leva 中,可以獲取用戶全名、電話號碼、位置(目的地和出發地)和與司機之間的聊天記錄。
(CPR 從 Astro Guru 中獲取的用戶信息)
推送通知
推送通知想必大家都不陌生,開發者通過發送推送通知與用戶進行互動,這也是應用中使用最廣泛的服務之一。一般情況下,推送通知服務都需要起碼一個密鑰來識別開發者身份。
然而,這個一般情況也有部分應用沒有實現。CPR 發現,有開發者僅僅是將密鑰嵌入到應用文件本身,即密鑰就已失去了識別身份的意義。
雖然相較實時數據庫泄露的數據,推送通知配置不當并沒有直接損害用戶信息,但如果有惡意份子通過假冒開發者身份,向用戶推送一個看似官方的惡意網址,一旦上當,遭殃的還是用戶。
云存儲
云存儲,一種網上在線存儲的模式,即把數據存放在通常由第三方托管的多臺虛擬服務器中,目前許多應用采取的都是這種方式。原本這是一種便捷的功能,可有部分開發者卻將云存儲密鑰直接嵌入應用程序的代碼中。
明知故犯的應用開發者
以上這些問題雖然并不是什么新奇的應用漏洞,但歸根結底,這是應用開發者的疏漏。另外,CPR 在分析了幾十個案例后,發現其中許多開發者是明知故犯,即明明知道在應用代碼中嵌入云服務密鑰不可取,卻還是這樣做了。
出于安全考慮,除了在分析中明確指出的 5 款應用,CPR 團隊并沒有將這 23 款應用的名稱全部披露。而那 5 款應用在被正式寫入報告之前,CPR 也與其應用制造商進行了溝通,其中部分已經進行了更新并修復了相關問題:" 一些應用程序已更改其配置。"
不過 CPR 也補充道,盡管與這些應用方都同步了漏洞所在,但許多應用還是沒有進行改進。此外,這 23 款應用,對于擁有數百萬應用的 Google Play 而言不過是微不可見的角落,可見由于云服務配置不當導致用戶數據泄露的應用比想象中還要普遍。
