Google Sklep Play: 24 tys. aplikacji ujawnia wrażliwe dane użytkownika
24 tys. aplikacji na Androida wykorzystujących platformę Firebase ujawnia wrażliwe dane użytkownika, w tym m.in. adres e-mail, hasło, numer telefonu, zapis rozmów i dane o lokalizacji – raportuje badacz bezpieczeństwa Bob Diachenko.
Dochodzenie, przeprowadzone przez Diachenkę we współpracy z firmą Comparitech, jest wynikiem analizy 515 735 aplikacji na Androida, co stanowi około 18 proc. zasobów Sklepu Play. W pobranej próbce badacze, jak podają, znaleźli dokładnie 4282 apki narażające użytkownika na wyciek danych, a to z kolei doprowadziło do szacunkowego wniosku, że jest ich łącznie mniej więcej 24 tys.
Sprawa rozchodzi się o platformę Firebase, która została przejęta przez Google'a w 2014 roku, a obecnie stanowi podstawę blisko 1/3 androidowych aplikacji. Badacze zauważyli, że w celu uzyskania dostępu do zgromadzonych danych wykorzystuje ona proste REST API, a konkretniej – pliki w formacie JSON. Przeszukali źródła na obecność adresów URL w domenie firebaseio.com i dodając do nich przyrostek .json, pobrali te bazy, które nie były zabezpieczone w inny sposób.
Tym właśnie sposobem, bez większej gimnastyki, udało się uzyskać: 7 mln adresów e-mail; 4,4 mln nazw użytkownika; 1 mln haseł; 5,3 mln numerów telefonu; 18,3 mln imion i nazwisk; 6,8 mln wiadomości z czatów; 6,2 mln zestawów danych GPS; 156 tys. adresów IP czy 560 tys. adresów zamieszkania. A to nie wszystko, gdyż w raporcie mowa jeszcze o nieznanej liczbie zdjęć paszportowych i numerów kart kredytowych.
Co szczególnie zatrważające, według przedstawionych obserwacji, niektóre spośród dostępnych publicznie baz są nie tylko narażone na pełen odczyt, ale także zapis. Ewentualny napastnik może więc widniejące w nich dane zmieniać, zyskując kolejny wektor ataku.
Jednocześnie zagrożeni są tym razem nie tylko posiadacze urządzeń z Androidem, ale także iOS. Platforma Firebase bywa bowiem wykorzystywana również w tym drugim systemie, choć na mniejszą skalę. Dodajmy, że jednym z jej najbardziej znanych beneficjentów jest system Google Analytics, aczkolwiek on akurat nie został wprost powiązany z niniejszym incydentem.
Zdaniem badaczy, co najmniej od 22 kwietnia Google zdaje sobie sprawę z zaistniałego problemu. Ma informować twórców zagrożonych apek o niebezpieczeństwie.
