Hvor private er Android-apps? Sikkerhedsforskere opdagede 23 mobile applikationer, der lækker deres brugeres personlige data, og gøre det offentligt til det åbne internet.
Ifølge en ny Check Point-undersøgelse, chatbeskeder, emails, placeringer, adgangskoder, billeder, og andre personlige oplysninger forbundet med flere Android-apps kan tilgås af alle med internetforbindelse. Desværre, kun et lille antal af de nævnte apps ændrede deres privatlivsindstillinger, efter at virksomheden kontaktede dem.
”Efter at have undersøgt 23 Android-applikationer, Check Point Research bemærkede, at mobilapp-udviklere potentielt udsatte de personlige data for over 100 millioner brugere gennem en række miskonfigurationer af tredjeparts cloud-tjenester. Personlige data inkluderede e-mails, chatbeskeder, placering, adgangskoder og fotos, hvilken, i hænderne på ondsindede aktører kan føre til bedrageri, identitetstyveri og service swipes,”Afslørede forskningen.
Det er bemærkelsesværdigt, at dataene kan tilgås fra realtidsdatabaser i 13 af 23 apps, downloadet fra 10,000 til 10 million gange. Apps handlede om temaer som astrologi, taxa tjenester, logo-beslutningstagere, og skærmoptagelse. I tilfælde af en taxa-app, kaldte T’Leva, forskerne kunne få adgang til meddelelserne mellem chauffører og passagerer, samt placeringsdata og personlige oplysninger som fulde navne og telefonnumre. Dette kunne gøres blot ved at sende en anmodning til databasen.
Endvidere, forskerne opdagede push-notifikation og cloud storage nøgler indlejret i flere apps, sætte udviklernes interne ressourcer, herunder opdateringsmekanismer og opbevaring, i fare.
Realtidsdatabaser og skybaserede løsninger: Et ansvar
I bunden af spørgsmålet er moderne skybaserede løsninger, der er blevet den nye standard i verden af mobilapp-udvikling. “Tjenester såsom skybaseret opbevaring, realtidsdatabaser, meddelelsesstyring, analytics, og mere er blot et klik væk fra at blive integreret i applikationer. Alligevel, udviklere overser ofte sikkerhedsaspektet ved disse tjenester, deres konfiguration, og selvfølgelig, deres indhold,”Kontrolpunkt sagde.
Mere specifikt, realtidsdatabaser kan blive en forpligtelse, hvis ikke korrekt konfigureret. Disse databaser giver udviklere mulighed for at gemme data i skyen, synkronisering af det i realtid til alle tilsluttede klienter. Men, hvis databasen ikke har en grundlæggende funktion såsom godkendelse, privatlivets fred er i fare.
Desværre, problemet med realtidsdatabaser er ikke nyt, og er et meget almindeligt problem, der påvirker millioner af brugere. Med hensyn til 23 applikationer analyseret af Check Point, "Der var ikke noget på plads, der forhindrede uautoriseret adgang i at ske."
Under deres undersøgelse, holdet gendannede en masse følsomme oplysninger, såsom e-mail-adresser, adgangskoder, private chats, enhedens placering, brugeridentifikatorer, etc.
Hvad kunne være resultatet af, at disse data blev eksponeret? Hvis trusselaktører får adgang til sådanne data, de kunne udføre service swipes, identitetstyveri, og diverse typer svindel.
Cloud-applikationer misbrugt af hackere
En anden nylig rapport, af Proofpoint, afsløret faren for den voksende anvendelse af cloud-samarbejdsværktøjer i organisationer. Der har været en acceleration i trusselsaktører, der udnytter Microsofts og Googles skyinfrastruktur til at være vært for og sende ondsindede meddelelser. Ansøgninger misbrugt i angrebene inkluderer Office 365, Azure, OneDrive, SharePoint, G-Suite, og Firebase.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: