23 Android-Apps enthüllen die persönlichen Daten von mehr als 100.000.000 Benutzern

Durch Fehlkonfigurationen in mehreren Android-Apps wurden vertrauliche Daten an mehr als 100 Millionen Benutzer weitergegeben, sodass sie wahrscheinlich ein profitables Ziel für böswillige Akteure sind.

„Durch die Nichteinhaltung der Best Practices bei der Konfiguration und Integration von Cloud-Diensten von Drittanbietern in Anwendungen wurden die privaten Daten von Millionen von Benutzern offengelegt“, so die Forscher von Check Point in einer heute veröffentlichten Analyse, die The Hacker News zur Verfügung gestellt wurde.

„In einigen Fällen betrifft diese Art des Missbrauchs nur Benutzer, kann jedoch auch Entwickler gefährden. Fehlerhafte Konfigurationen gefährden die persönlichen Daten und internen Ressourcen des Entwicklers, z. B. den Zugriff auf Aktualisierungs- und Speichermechanismen und mehr.“

Die Ergebnisse stammen aus einer Studie mit 23 Android-Apps, die im offiziellen Google Play Store erhältlich sind. Einige davon reichen von 10.000 bis 10 Millionen Downloads, z Astro GuruUnd der iFax, LogoherstellerUnd der Bildschirm recorder, Und der T’Leva.

Laut Check Point resultieren die Probleme aus einer Fehlkonfiguration von Datenbanken in Echtzeit, Push-Benachrichtigungen und Cloud-Speicherschlüsseln, was dazu führt, dass E-Mails, Telefonnummern, Chat-Nachrichten, Speicherorte, Kennwörter, Backups, Browserverlauf und Fotos verschüttet werden.

Indem die Datenbank nicht hinter Authentifizierungsbarrieren gesichert wurde, konnten die Forscher Daten über T’Leva-Benutzer der angolanischen Taxi-App abrufen, einschließlich Nachrichten, die zwischen Fahrern und Passagieren ausgetauscht wurden, sowie vollständige Passagiernamen, Telefonnummern, Ziel und Auswahl. Websites.

Darüber hinaus stellten die Forscher fest, dass App-Entwickler Schlüssel enthalten, die zum Senden von Push-Benachrichtigungen und zum direkten Zugriff auf Cloud-Speicherdienste in Apps erforderlich sind. Dies erleichtert nicht nur schlechten Schauspielern das Versenden einer gefälschten Benachrichtigung an alle Benutzer im Namen des Entwicklers, sondern kann auch genutzt werden, um ahnungslose Benutzer auf eine Phishing-Seite zu leiten und so zu einem Einstiegspunkt für komplexere Bedrohungen zu werden.

Ebenso öffnet die Aufnahme von Schlüsseln für den Zugriff auf Cloud-Speicher in Apps die Tür zu anderen Angriffen, bei denen ein Feind alle in der Cloud gespeicherten Daten erfassen kann – ein Verhalten, das in zwei Apps, Screen Recorder und iFax, beobachtet wird und Forschern Zugriff auf diese Funktion bietet um auf Aufzeichnungen zuzugreifen. Bildschirm- und Faxdokumente.

Check Point stellt fest, dass nur wenige Apps ihre Konfiguration als Reaktion auf eine verantwortungsvolle Offenlegung geändert haben. Dies bedeutet, dass Benutzer anderer Apps weiterhin potenziellen Bedrohungen wie Betrug und Identitätsdiebstahl ausgesetzt sind, ganz zu schweigen davon, dass sie ihre gestohlenen Passwörter für den Zugriff auf andere betrügerische Konten nutzen .

„Letztendlich werden Opfer anfällig für viele verschiedene Angriffsmethoden wie Identitätswechsel, Diebstahl, Phishing und Swipes“, sagte Aviran Hazum, Direktor für Handyforschung am Check Point, und fügte hinzu, dass die Studie „Licht auf eine störende Realität wirft, in der App Entwickler gefährden nicht nur ihre Daten, sondern auch die Daten ihrer Benutzer. „