Google Sklep Play: 24 tys. aplikacji ujawnia wrażliwe dane użytkownika Strona główna Aktualności15.05.2020 11:47 Udostępnij: O autorze Piotr Urbaniak @gtxxor 24 tys. aplikacji na Androida wykorzystujących platformę Firebase ujawnia wrażliwe dane użytkownika, w tym m.in. adres e-mail, hasło, numer telefonu, zapis rozmów i dane o lokalizacji – raportuje badacz bezpieczeństwa Bob Diachenko. Dochodzenie, przeprowadzone przez Diachenkę we współpracy z firmą Comparitech, jest wynikiem analizy 515 735 aplikacji na Androida, co stanowi około 18 proc. zasobów Sklepu Play. W pobranej próbce badacze, jak podają, znaleźli dokładnie 4282 apki narażające użytkownika na wyciek danych, a to z kolei doprowadziło do szacunkowego wniosku, że jest ich łącznie mniej więcej 24 tys. Sprawa rozchodzi się o platformę Firebase, która została przejęta przez Google'a w 2014 roku, a obecnie stanowi podstawę blisko 1/3 androidowych aplikacji. Badacze zauważyli, że w celu uzyskania dostępu do zgromadzonych danych wykorzystuje ona proste REST API, a konkretniej – pliki w formacie JSON. Przeszukali źródła na obecność adresów URL w domenie firebaseio.com i dodając do nich przyrostek .json, pobrali te bazy, które nie były zabezpieczone w inny sposób. Tym właśnie sposobem, bez większej gimnastyki, udało się uzyskać: 7 mln adresów e-mail; 4,4 mln nazw użytkownika; 1 mln haseł; 5,3 mln numerów telefonu; 18,3 mln imion i nazwisk; 6,8 mln wiadomości z czatów; 6,2 mln zestawów danych GPS; 156 tys. adresów IP czy 560 tys. adresów zamieszkania. A to nie wszystko, gdyż w raporcie mowa jeszcze o nieznanej liczbie zdjęć paszportowych i numerów kart kredytowych. Co szczególnie zatrważające, według przedstawionych obserwacji, niektóre spośród dostępnych publicznie baz są nie tylko narażone na pełen odczyt, ale także zapis. Ewentualny napastnik może więc widniejące w nich dane zmieniać, zyskując kolejny wektor ataku. Jednocześnie zagrożeni są tym razem nie tylko posiadacze urządzeń z Androidem, ale także iOS. Platforma Firebase bywa bowiem wykorzystywana również w tym drugim systemie, choć na mniejszą skalę. Dodajmy, że jednym z jej najbardziej znanych beneficjentów jest system Google Analytics, aczkolwiek on akurat nie został wprost powiązany z niniejszym incydentem. Zdaniem badaczy, co najmniej od 22 kwietnia Google zdaje sobie sprawę z zaistniałego problemu. Ma informować twórców zagrożonych apek o niebezpieczeństwie. Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Google Sklep Play i szkodliwe aplikacje. Tym razem trafiły na ponad 1,7 mln urządzeń 25 mar 2020 Piotr Urbaniak Internet Bezpieczeństwo 42 Google uderza w forki Androida: modyfikujesz, tracisz dostęp do Sklepu Play 12 mar 2020 Piotr Urbaniak Oprogramowanie Biznes 56 Google Sklep Play z fatalnym wynikiem audytu bezpieczeństwa. Ktoś zdziwiony? 10 mar 2020 Piotr Urbaniak Oprogramowanie Internet Bezpieczeństwo 24 Android TV kontra Fire OS, czyli jak Google niszczy konkurencję 12 mar 2020 MironNurski Oprogramowanie 35
Udostępnij: O autorze Piotr Urbaniak @gtxxor 24 tys. aplikacji na Androida wykorzystujących platformę Firebase ujawnia wrażliwe dane użytkownika, w tym m.in. adres e-mail, hasło, numer telefonu, zapis rozmów i dane o lokalizacji – raportuje badacz bezpieczeństwa Bob Diachenko. Dochodzenie, przeprowadzone przez Diachenkę we współpracy z firmą Comparitech, jest wynikiem analizy 515 735 aplikacji na Androida, co stanowi około 18 proc. zasobów Sklepu Play. W pobranej próbce badacze, jak podają, znaleźli dokładnie 4282 apki narażające użytkownika na wyciek danych, a to z kolei doprowadziło do szacunkowego wniosku, że jest ich łącznie mniej więcej 24 tys. Sprawa rozchodzi się o platformę Firebase, która została przejęta przez Google'a w 2014 roku, a obecnie stanowi podstawę blisko 1/3 androidowych aplikacji. Badacze zauważyli, że w celu uzyskania dostępu do zgromadzonych danych wykorzystuje ona proste REST API, a konkretniej – pliki w formacie JSON. Przeszukali źródła na obecność adresów URL w domenie firebaseio.com i dodając do nich przyrostek .json, pobrali te bazy, które nie były zabezpieczone w inny sposób. Tym właśnie sposobem, bez większej gimnastyki, udało się uzyskać: 7 mln adresów e-mail; 4,4 mln nazw użytkownika; 1 mln haseł; 5,3 mln numerów telefonu; 18,3 mln imion i nazwisk; 6,8 mln wiadomości z czatów; 6,2 mln zestawów danych GPS; 156 tys. adresów IP czy 560 tys. adresów zamieszkania. A to nie wszystko, gdyż w raporcie mowa jeszcze o nieznanej liczbie zdjęć paszportowych i numerów kart kredytowych. Co szczególnie zatrważające, według przedstawionych obserwacji, niektóre spośród dostępnych publicznie baz są nie tylko narażone na pełen odczyt, ale także zapis. Ewentualny napastnik może więc widniejące w nich dane zmieniać, zyskując kolejny wektor ataku. Jednocześnie zagrożeni są tym razem nie tylko posiadacze urządzeń z Androidem, ale także iOS. Platforma Firebase bywa bowiem wykorzystywana również w tym drugim systemie, choć na mniejszą skalę. Dodajmy, że jednym z jej najbardziej znanych beneficjentów jest system Google Analytics, aczkolwiek on akurat nie został wprost powiązany z niniejszym incydentem. Zdaniem badaczy, co najmniej od 22 kwietnia Google zdaje sobie sprawę z zaistniałego problemu. Ma informować twórców zagrożonych apek o niebezpieczeństwie. Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji