Dårlig sikkerhetsfokus fra utviklere er kilden til at over 100 millioner brukere har fått sine data eksponert mot omverdenen.
Dårlig sikkerhetsfokus fra utviklere er kilden til at over 100 millioner brukere har fått sine data eksponert mot omverdenen.

Annonse


Persondata om over 100 millioner Android-brukere er lekket

Feilkonfigurerte skytjenester får skylden når det viser seg at over 100 millioner Android-brukere har fått sine data spredd for alle vinder.

Mange syndere

Det var sikkerhetsforskere fra Check Point som avdekket at personlige data om mer enn 100 millioner Android-brukere har blitt eksponert mot det åpne internett som en følge av feilkonfigurerte skytjenester, det skal være snakk om et utvalg tjenester og forskjellige årsaker til lekkasjen.

Dataene ble funnet i ubeskyttede sanntids-databaser som brukes av 23 apper med nedlastningstall som går fra 10.000 til 10.000.000.

Over et dusin verstinger

Avsløringen viser at urovekkende mange Android utviklere ikke følger grunnleggende prosedyrer for å sørge for at appenes databaser er tilstrekkelig sikret. Antallet mobile apper som har konfigurasjonsfeil i databaser viser at dette problemet er veldig utstrakt og lett kan utnyttes av de med onde hensikter.

Annonse


Sanntids-databaser brukes for å lagre data i skyen og synkronisere dette med tilkoblede klienter (app-brukere) i sanntid. Forskerene fra Check Point fant flere databaser som stod ubeskyttet slik at hvem som helst kunne få tilgang til personinformasjon, noe av det regnet som sensitivt, tilhørende mer enn 100 millioner brukere.

Personlig informasjon om en bruker av LogoMaker enkelt tilgjengelig for forskerene. Kilde: Check Point.

Av de totalt 23 appene som Check Point analyserte så har mer enn et dusin av disse 10 millioner installasjoner eller mer, de fleste av dem hadde sine sanntids-databaser konfigurert feil og eksponerte med dette personlig informasjon om brukere til omverdenen.

Dataene som forskerene fant inkluderte navn, e-post, fødselsdato, meldinger, lokasjoner, kjønn, passord, bilder, betalingsdetaljer, telefonnummer og mottatte push-meldinger. Av alle appene som ble undersøkt fant forskerene at det var et titalls apper som var verstingene, og flere av appene som eksponerte denne typen informasjon er tilgjengelig i Google Play og har mer enn 10 millioner installasjoner, eksempler på dette er Screen Recorder, Logo Maker og Astro Guru.

Av de verste synderene nevner Check Point blant annet Logo Maker og Astro Guru, Kilde: Check Point

Avslørte sikkerhetsnøkler

Forskergruppen fant også en gruppe apper som hadde sikkerhetsnøkler innebygget i selve appen, i en av appene fant de sågar også tilgangsdetaljer til Push-tjenster hardkodet inn.

En av verstingene, Screen Recorder, som også har 10 millioner installasjoner så fant forskere tilgangsdetaljer for skylagringen appen benyttet. Disse tilgangsdetaljene kunne potensielt gi angripere tilgang til skjermbilder fra app-brukere. Det samme gjaldt også appen iFax hvor man ved å benytte tilgangsdetaljene kunne se dokumenter og faxer tilhørende mer enn en halv million brukere.

Sikkerhet gjennom obskuritet

Gjennom undersøkelsene til Check Point fant forskerene at noen utviklere brukte base64-koding av sikkerhetsnøkler som egentlig ikke gir noen form for sikkerhet ettersom dekoding av nøklene ikke er beskyttet.

– Selv om applikasjonen ikke lagrer nøkler i klartekst, så er alt som trengs å finne den delen av koden som initialiserer tilgang til skytjenester, som stort sett mottar de nøklene som parametere, og følge deres verdier. Etterhvert, om nøklene er kodet inn i appen så vil vi motta verdien i de, skriver Check Point

Har du brukt noen appene som Check Point har sjekket ut?

Annonse


Annonse


Annonse


Annonse