多款 Android App 因不当配置而导致 1 亿多笔使用者敏感个资外泄,这可能使他们沦为恶意攻击者牟利的肥羊。
“由于在将第三方云端服务设定并整合到应用程序时,并未遵循最佳实践,结果导致上亿使用者个资外泄。”Check Point 研究人员 20 日分析报告表示。“虽然在某些情况下,这种类型的错误只会影响一般使用者,但实际上开发人员也会因此招致攻击。不当配置会让使用者个资和开发人员的内部资源(例如对更新机制、储存等资源的存取权限)面临风险。”
分析报告是对 Google Play 官方商店 23 款 Android App 的研究结果,其中一些 App 下载量从 1 万到 1,000 万不等,例如 Astro Guru、iFax、Logo Maker、Screen Recorder 和 T’Leva 等 App。
据 Check Point 指出,这些问题源于对即时数据库、推送通知和云端储存金钥的不当配置所致,进而导致电子邮件、电话号码、聊天讯息、位置、密码、备份档、浏览器历史记录和照片的外泄。
研究人员将重要服务存取金钥内嵌 App,为攻击者敞开长驱直入大门
研究人员举例指出,由于安哥拉(非洲国家)计程车叫车 App T’Leva 没有在身份认证关卡做好保护数据库,致使研究人员轻易获得用户个资,包括司机和乘客之间交流的讯息,以及乘客全名、电话号码、目的地和接送地点。
此外,研究人员发现,App 开发人员在 App 直接嵌入发送推播通知和存取云端储存服务所需金钥。这不仅会让恶意攻击者假藉开发人员的名义向所有使用者发送恶意通知,甚至还能借此将毫无戒心与防备的使用者导向至网络钓鱼页面,沦为更复杂威胁的切入点。
同样地,将云端储存存取金钥嵌入 App,无异为其他攻击打开长驱直入的大门,这样的攻击,攻击者可将云端储存的所有资料窃取到手,研究人员便在 Screen Recorder 和 iFax 这两个 App 成功展开攻击,并拿到屏幕录影档与传真文件。
Check Point 指出,只有少数 App 负责任地立即变更,以呼应这次安全揭露,这意味其他 App 使用者仍然容易受诈骗和身份盗用等可能威胁的影响,更不用说骇客可能利用被盗密码骗取其他账号了。
“当前受害者基本上易受许多不同攻击媒介的攻击,例如伪造攻击、身份盗用、网络钓鱼和服务盗用等。”Check Point 行动研究经理 Aviran Hazum 说。“这次研究揭露令人不安的现实状况:App 开发人员不仅将用户个资料置于风险下,并让自身个资也有曝险之虞。”
- 23 Android Apps Expose Over 100,000,000 Users’ Personal Data
(首图来源:Google Play)
