Androidアプリはどの程度プライベートですか? セキュリティ研究者が発見 23 ユーザーの個人データを漏洩するモバイルアプリケーション, そしてそれをオープンインターネットに公開する.
新しいチェックポイントの調査によると, チャットメッセージ, メール, 場所, パスワード, 写真, およびいくつかに関連するその他の個人情報 Androidアプリ インターネットに接続していれば誰でもアクセスできます. 不運にも, 会社から連絡を受けた後、プライバシー設定を変更したアプリはごくわずかでした。.
「調べた後 23 Androidアプリケーション, Check Point Researchは、モバイルアプリ開発者が上記の個人データを公開する可能性があることに気づきました 100 サードパーティのクラウドサービスのさまざまな構成ミスによる100万人のユーザー. 個人データにはメールが含まれていました, チャットメッセージ, 位置, パスワードと写真, どれの, 悪意のある攻撃者の手に渡ると、詐欺につながる可能性があります, 個人情報の盗難とサービスのスワイプ,」研究は明らかにした.
のリアルタイムデータベースからデータにアクセスできることは注目に値します。 13 の 23 アプリ, からダウンロード 10,000 に 10 百万回. アプリは占星術などのテーマに関するものでした, タクシーサービス, ロゴメーカー, とスクリーンレコーディング. タクシーアプリの場合, T'Levaと呼ばれる, 研究者は運転手と乗客の間のメッセージにアクセスできました, 位置データや氏名や電話番号などの個人情報も含まれます. これは、データベースに1つのリクエストを送信するだけで実行できます。.
さらに, 研究者は、いくつかのアプリに埋め込まれたプッシュ通知とクラウドストレージキーを発見しました, 開発者の内部リソースを置く, 更新メカニズムとストレージを含む, 危険にさらされている.
リアルタイムデータベースとクラウドベースのソリューション: 責任
問題の根底にあるのは、モバイルアプリ開発の世界で新しい標準となった最新のクラウドベースのソリューションです。. 「クラウドベースのストレージなどのサービス, リアルタイムデータベース, 通知管理, 分析, その他のアプリケーションは、クリックするだけでアプリケーションに統合できます。. まだ, 開発者は、これらのサービスのセキュリティ面を見落としがちです, それらの構成, そしてもちろん, 彼らのコンテンツ,」チェックポイント 言った.
すなわち, リアルタイムデータベースは責任になる可能性があります, 適切に構成されていない場合. これらのデータベースにより、開発者はデータをクラウドに保存できます, 接続されているすべてのクライアントにリアルタイムで同期します. でも, データベースに認証などの基本機能がない場合, プライバシーが危険にさらされている.
不運にも, リアルタイムデータベースの問題は新しいものではありません, 何百万ものユーザーに影響を与える広く一般的な問題です. の観点から 23 チェック・ポイントが分析したアプリケーション, 「不正アクセスの発生を阻止するための場所はありませんでした。」
彼らの調査中, チームは多くの機密情報を回収しました, メールアドレスなど, パスワード, プライベートチャット, デバイスの場所, ユーザー識別子, 等.
このデータが公開された結果はどうなるでしょうか? 脅威アクターがそのようなデータへのアクセスを取得した場合, 彼らはサービススワイプを実行することができます, 個人情報の盗難, と様々な 詐欺の種類.
ハッカーに悪用されたクラウドアプリケーション
別の最近のレポート, Proofpointによる, 明らかに クラウドコラボレーションツールの採用が拡大する危険性 組織で. マイクロソフトとグーグルのクラウドインフラストラクチャを悪用して悪意のあるメッセージをホストおよび送信する脅威アクターが加速しています. 攻撃で悪用されたアプリケーションには、Officeが含まれます 365, Azure, OneDrive, 共有ポイント, G-Suite, およびFirebase.