Po dokładnym przebadaniu 23 aplikacji na Androida pobranych ze sklepu Google Play odkryto liczne podatności, pozwalające na ujawnienie danych osobowych ponad 100 milionów użytkowników – ostrzega Check Point Research. Głównym problemem deweloperów miały być błędne konfiguracje usług chmurowych firm trzecich, pozwalające na dostęp do wiadomości e-mail, wiadomości na czacie, lokalizacji, haseł czy zdjęć, które w rękach hakerów mogą prowadzić do oszustw, kradzieży tożsamości i wymuszeń usług.

Za poważnymi naruszeniami prywatności stały głównie błędne konfiguracje bazy danych czasu rzeczywistego, czyli takich, które działają na żywych i stale zmieniających się danych, a nie na trwałych danych przechowywanych na dysku. Twórcy aplikacji korzystają z nich do przechowywania danych w chmurze.

Check Point Research z powodzeniem uzyskał dostęp do poufnych danych 13 aplikacji na Androida, posiadających od 10 000 do 10 milionów pobrań. W przypadku, gdyby cyberprzestępca uzyskał dostęp do wrażliwych danych wyodrębnionych przez analityków, mógłby wykorzystać je do kradzieży tożsamości lub przejęcia dostępu do usług, wykorzystujących tę samą kombinację danych logowania.

Wśród aplikacji z błędnymi konfiguracjami była m.in. pobrana przeszło 10 milionów razy Astro Guru, oferująca m.in. horoskopy. Inna z aplikacji – pobrana ponad 50 tys. razy „T’Leva” obsługująca przewozy ludzi, pozwalała na uzyskanie dostępu do wiadomości czatu między kierowcami a pasażerami oraz na odzyskanie imion i nazwisk, numerów telefonów czy lokalizacji klientów (miejsce docelowe i miejsce odbioru).

Menedżer powiadomień do poprawy. Przechowywanie w chmurze również.

Menedżer powiadomień Push to jedna z najczęściej używanych usług w branży aplikacji mobilnych, a same powiadomienia są często używane do oznaczania nowych dostępnych treści, wyświetlania wiadomości na czacie, e-maili i innych komunikatów. Większość usług powiadomień Push wymaga klucza (czasami więcej niż jednego) do rozpoznania tożsamości osoby przesyłającej żądanie. W momencie, gdy klucze są po prostu osadzone w samym pliku aplikacji, hakerzy bardzo łatwo mogą przejąć kontrolę i uzyskać możliwość wysyłania powiadomień, które mogą zawierać złośliwe linki do wszystkich użytkowników w imieniu programisty.

Tego typu błędy zostały wychwycone w aplikacjach przebadanych przez analityków Check Point Research. Wyobraźmy sobie, że aplikacja wysyłałaby swoim użytkownikom powiadomienie o np. fałszywych wiadomościach, kierując ich na stronę phishingową. Gdy powiadomienie pochodzi z oficjalnej aplikacji, użytkownicy zakładają, że jest ono bezpieczne i wysłane przez serwis informacyjny, a nie przez hakerów.

To jednak nie wszystko. Zawodzić może system przechowywania w chmurze, czyli praktyka, która zdobyła dużą popularność w ciągu ostatnich kilku lat. Umożliwia ona dostęp do plików udostępnionych przez programistę lub zainstalowaną aplikację.

Jedną z przebadanych aplikacji, był liczący ponad 10 milionów pobrań „Screen Recorder”, który służy do nagrywania ekranu urządzenia użytkownika i przechowywania nagrań w usłudze w chmurze. Chociaż dostęp do nagrań ekranu przez chmurę jest wygodną funkcją, może to mieć poważne konsekwencje, jeśli programiści będą chronić prywatne hasła użytkowników w tej samej chmurze, która przechowuje nagrania. Dzięki szybkiej analizie pliku aplikacji badacze CPR byli w stanie odzyskać wspomniane klucze, które zapewniają dostęp do każdego zapisanego nagrania.

Drugą aplikacją, na którą zwrócili uwagę eksperci jest „iFax”, która nie tylko miała wbudowane klucze do przechowywania w chmurze, ale także przechowywała tam wszystkie transmisje faksów. Cyberprzestępca z odpowiednią wiedzą, mógł tym samym uzyskać dostęp do wszystkich dokumentów wysłanych przez 500 000 użytkowników, którzy korzystali z usługi.

– Większość aplikacji, którym się przyjrzeliśmy nadal udostępnia dane. Gromadzenie danych, zwłaszcza przez cyberprzestępców jest zawsze niebezpiecznym procederem. Ostatecznie ofiary stają się podatne na wiele różnych wektorów ataków, takich jak podszywanie się pod inne osoby, kradzież tożsamości, wyłudzanie informacji czy wymazywanie usług. – mówi Aviran Hazum, menedżer ds. Badań mobilnych w firmie Check Point Software:

Check Point Research z powyższymi ustaleniami zwrócił się do Google i wszystkich twórców aplikacji, aby podzielić się naszymi odkryciami. Jak do tej pory zaledwie kilku developerów zmieniło swoje konfiguracje.

– Nasze najnowsze badania rzucają światło na niepokojącą rzeczywistość, w której programiści aplikacji narażają nie tylko swoje dane, ale także dane swoich użytkowników. Nie stosując się do najlepszych praktyk podczas konfigurowania i integrowania usług chmurowych innych firm z aplikacjami, ujawniono dziesiątki milionów prywatnych danych użytkowników. Mamy nadzieję, że nasze badanie wyśle ​​silny sygnał do społeczności programistów, by zachowywali szczególną ostrożność przy używaniu i konfigurowaniu usług chmurowych innych firm. Aby rozwiązać ten problem, programiści muszą skanować swoje aplikacje pod kątem luk w zabezpieczeniach, które opisaliśmy – dodaje Aviran Hazum.