Отчет: некорректная конфигурация сторонних приложений Google Play раскрывает данные 100 миллионов пользователей

Несмотря на очевидные преимущества современных облачных решений для разработки мобильных приложений, таких как облачное хранилище, управление уведомлениями, базы данных в реальном времени и аналитика, многие разработчики этих решений не могут должным образом учитывать потенциальные риски безопасности, связанные с некорректной настройкой этих приложений.

Совсем недавно Check Point Research обнаружила некорректную конфигурацию и проблемы с реализацией, из-за которых были раскрыты данные 100 миллионов пользователей мобильных приложений. Такой вид воздействия подвергает как пользователей, так и разработчиков приложений риску репутационных потерь и ущерба от науршений безопасности. В этом случае разработчики оставили открытыми диспетчеры уведомлений, места хранения и базы данных в реальном времени для доступа злоумышленников, тем самым оставив уязвимыми 100 миллионов пользователей.

Что касается баз данных в реальном времени, облачные сервисы могут помочь пользователям мобильных приложений синхронизировать свои данные с облаком в реальном времени. Однако, когда разработчики неправильно настраивают эту службу с аутентификацией, любой пользователь теоретически может получить доступ к такой базе данных, включая все информацию о пользователях мобильных приложений. Фактически, исследователи выявили уязвимость, которая выражается в отсутствии препятствий для доступа к этим открытым базам данных для определенных приложений в Google Play. Некоторые из доступных в этом случае аспектов включали местоположение устройств, адреса электронной почты, пароли, частные чаты и идентификаторы пользователей, а также другие векторы атаки. Такие уязвимости подвергают всех пользователей приложений риску мошенничества и кражи личных данных.

Например, популярное приложение для гороскопов Astro Guru - одно из таких, в котором есть эти уязвимости. Оно потенциально подвергает всех пользователей утечке персональных данных, таких как дата рождения, адрес электронной почты, пол и местоположение, а также платежная информация, после 10 миллионов загрузок.

Точно так же приложение такси T'Leva, которое уже было установлено более 50000, позволило исследователям получить полные имена пользователей, номера их телефонов, а также пункты назначения и предполагаемые места отправления, отправив всего один запрос в базу данных.

Затем исследователи также обнаружили, что даже менеджер push-уведомлений оказался уязвимым. Это означает, что любой злоумышленник, способный получить доступ к диспетчеру, может отправлять пользователю уведомления от имени разработчика.

Более того, облачное хранилище этих мобильных приложений представляет особый риск для пользователей, поскольку исследовательская группа также обнаружила, что многие разработчики оставили открытыми как ключи доступа, так и секретные ключи к хранимым данным в служебном приложении Screen Recorder. Очевидно, беглый анализ файла приложения позволил исследователям восстановить эти ключи и получить доступ к записям пользователей.

Кроме того, исследование показало, что вредоносное ПО CopyCat также может извлекать ключи для подверженных риску облачных сервисов хранения, демонстрируя, как злоумышленники также могут воспользоваться этими уязвимостями.