Google Sklep Play: 24 tys. aplikacji ujawnia wrażliwe dane użytkownika Strona główna Aktualności15.05.2020 11:47 Udostępnij: O autorze Piotr Urbaniak @gtxxor 24 tys. aplikacji na Androida wykorzystujących platformę Firebase ujawnia wrażliwe dane użytkownika, w tym m.in. adres e-mail, hasło, numer telefonu, zapis rozmów i dane o lokalizacji – raportuje badacz bezpieczeństwa Bob Diachenko. Dochodzenie, przeprowadzone przez Diachenkę we współpracy z firmą Comparitech, jest wynikiem analizy 515 735 aplikacji na Androida, co stanowi około 18 proc. zasobów Sklepu Play. W pobranej próbce badacze, jak podają, znaleźli dokładnie 4282 apki narażające użytkownika na wyciek danych, a to z kolei doprowadziło do szacunkowego wniosku, że jest ich łącznie mniej więcej 24 tys. Sprawa rozchodzi się o platformę Firebase, która została przejęta przez Google'a w 2014 roku, a obecnie stanowi podstawę blisko 1/3 androidowych aplikacji. Badacze zauważyli, że w celu uzyskania dostępu do zgromadzonych danych wykorzystuje ona proste REST API, a konkretniej – pliki w formacie JSON. Przeszukali źródła na obecność adresów URL w domenie firebaseio.com i dodając do nich przyrostek .json, pobrali te bazy, które nie były zabezpieczone w inny sposób. Tym właśnie sposobem, bez większej gimnastyki, udało się uzyskać: 7 mln adresów e-mail; 4,4 mln nazw użytkownika; 1 mln haseł; 5,3 mln numerów telefonu; 18,3 mln imion i nazwisk; 6,8 mln wiadomości z czatów; 6,2 mln zestawów danych GPS; 156 tys. adresów IP czy 560 tys. adresów zamieszkania. A to nie wszystko, gdyż w raporcie mowa jeszcze o nieznanej liczbie zdjęć paszportowych i numerów kart kredytowych. Co szczególnie zatrważające, według przedstawionych obserwacji, niektóre spośród dostępnych publicznie baz są nie tylko narażone na pełen odczyt, ale także zapis. Ewentualny napastnik może więc widniejące w nich dane zmieniać, zyskując kolejny wektor ataku. Jednocześnie zagrożeni są tym razem nie tylko posiadacze urządzeń z Androidem, ale także iOS. Platforma Firebase bywa bowiem wykorzystywana również w tym drugim systemie, choć na mniejszą skalę. Dodajmy, że jednym z jej najbardziej znanych beneficjentów jest system Google Analytics, aczkolwiek on akurat nie został wprost powiązany z niniejszym incydentem. Zdaniem badaczy, co najmniej od 22 kwietnia Google zdaje sobie sprawę z zaistniałego problemu. Ma informować twórców zagrożonych apek o niebezpieczeństwie. Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Google Play: we wrześniu wykryto 172 szkodliwe aplikacje na Androida. Dominują reklamy 30 paź 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 11 Google chwali się nowym supernarzędziem do wykrywania malware'u w Sklepie Play 10 lis 2019 Piotr Urbaniak Oprogramowanie Internet Bezpieczeństwo 30 Google Play: 42 aplikacje z reklamami usunięte. Odinstaluj je ze swojego smartfona 29 paź 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 75 Google i ESET będą walczyć z fałszywymi aplikacjami w Google Play 7 lis 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo IT.Pro 13
Udostępnij: O autorze Piotr Urbaniak @gtxxor 24 tys. aplikacji na Androida wykorzystujących platformę Firebase ujawnia wrażliwe dane użytkownika, w tym m.in. adres e-mail, hasło, numer telefonu, zapis rozmów i dane o lokalizacji – raportuje badacz bezpieczeństwa Bob Diachenko. Dochodzenie, przeprowadzone przez Diachenkę we współpracy z firmą Comparitech, jest wynikiem analizy 515 735 aplikacji na Androida, co stanowi około 18 proc. zasobów Sklepu Play. W pobranej próbce badacze, jak podają, znaleźli dokładnie 4282 apki narażające użytkownika na wyciek danych, a to z kolei doprowadziło do szacunkowego wniosku, że jest ich łącznie mniej więcej 24 tys. Sprawa rozchodzi się o platformę Firebase, która została przejęta przez Google'a w 2014 roku, a obecnie stanowi podstawę blisko 1/3 androidowych aplikacji. Badacze zauważyli, że w celu uzyskania dostępu do zgromadzonych danych wykorzystuje ona proste REST API, a konkretniej – pliki w formacie JSON. Przeszukali źródła na obecność adresów URL w domenie firebaseio.com i dodając do nich przyrostek .json, pobrali te bazy, które nie były zabezpieczone w inny sposób. Tym właśnie sposobem, bez większej gimnastyki, udało się uzyskać: 7 mln adresów e-mail; 4,4 mln nazw użytkownika; 1 mln haseł; 5,3 mln numerów telefonu; 18,3 mln imion i nazwisk; 6,8 mln wiadomości z czatów; 6,2 mln zestawów danych GPS; 156 tys. adresów IP czy 560 tys. adresów zamieszkania. A to nie wszystko, gdyż w raporcie mowa jeszcze o nieznanej liczbie zdjęć paszportowych i numerów kart kredytowych. Co szczególnie zatrważające, według przedstawionych obserwacji, niektóre spośród dostępnych publicznie baz są nie tylko narażone na pełen odczyt, ale także zapis. Ewentualny napastnik może więc widniejące w nich dane zmieniać, zyskując kolejny wektor ataku. Jednocześnie zagrożeni są tym razem nie tylko posiadacze urządzeń z Androidem, ale także iOS. Platforma Firebase bywa bowiem wykorzystywana również w tym drugim systemie, choć na mniejszą skalę. Dodajmy, że jednym z jej najbardziej znanych beneficjentów jest system Google Analytics, aczkolwiek on akurat nie został wprost powiązany z niniejszym incydentem. Zdaniem badaczy, co najmniej od 22 kwietnia Google zdaje sobie sprawę z zaistniałego problemu. Ma informować twórców zagrożonych apek o niebezpieczeństwie. Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji